Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Flash Player

Datum vydání: 8. prosince 2015

Poslední aktualizace: 3. června 2016

Identifikátor chyby zabezpečení: APSB15-32

Priorita: Viz tabulka níže

Číslo CVE: CVE-2015-8045, CVE-2015-8047, CVE-2015-8048, CVE-2015-8049, CVE-2015-8050, CVE-2015-8418, CVE-2015-8454, CVE-2015-8455, CVE-2015-8055, CVE-2015-8056, CVE-2015-8057, CVE-2015-8058, CVE-2015-8059, CVE-2015-8060, CVE-2015-8061, CVE-2015-8062, CVE-2015-8063, CVE-2015-8064, CVE-2015-8065, CVE-2015-8066, CVE-2015-8067, CVE-2015-8068, CVE-2015-8069, CVE-2015-8070, CVE-2015-8071, CVE-2015-8401, CVE-2015-8402, CVE-2015-8403, CVE-2015-8404, CVE-2015-8405, CVE-2015-8406, CVE-2015-8407, CVE-2015-8408, CVE-2015-8409, CVE-2015-8410, CVE-2015-8411, CVE-2015-8412, CVE-2015-8413, CVE-2015-8414, CVE-2015-8415, CVE-2015-8416, CVE-2015-8417, CVE-2015-8419, CVE-2015-8420, CVE-2015-8421, CVE-2015-8422, CVE-2015-8423, CVE-2015-8424, CVE-2015-8425, CVE-2015-8426, CVE-2015-8427, CVE-2015-8428, CVE-2015-8429, CVE-2015-8430, CVE-2015-8431, CVE-2015-8432, CVE-2015-8433, CVE-2015-8434, CVE-2015-8435, CVE-2015-8436, CVE-2015-8437, CVE-2015-8438, CVE-2015-8439, CVE-2015-8440, CVE-2015-8441, CVE-2015-8442, CVE-2015-8443, CVE-2015-8444, CVE-2015-8445, CVE-2015-8446, CVE-2015-8447, CVE-2015-8448, CVE-2015-8449, CVE-2015-8450, CVE-2015-8451, CVE-2015-8452, CVE-2015-8453, CVE-2015-8456, CVE-2015-8457, CVE-2015-8652, CVE-2015-8653, CVE-2015-8654, CVE-2015-8655, CVE-2015-8656, CVE-2015-8657, CVE-2015-8658, CVE-2015-8820, CVE-2015-8821, CVE-2015-8822, CVE-2015-8823

Platforma: všechny platformy

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro přehrávač Adobe Flash Player.  Tyto aktualizace řeší kritické chyby zabezpečení, které potenciálně mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.

Postižené verze

Produkt Postižené verze Platforma
Modul runtime Adobe Flash Player pro stolní počítače 19.0.0.245 a starší verze
Windows a Macintosh
Adobe Flash Player Extended Support Release 18.0.0.261 a starší verze Windows a Macintosh
Přehrávač Adobe Flash Player pro prohlížeč Google Chrome 19.0.0.245 a starší verze Windows, Macintosh, Linux a ChromeOS
Přehrávač Adobe Flash Player pro prohlížeče Microsoft Edge a Internet Explorer 11 19.0.0.245 a starší verze Windows 10
Přehrávač Adobe Flash Player pro prohlížeč Internet Explorer 10 a 11 19.0.0.245 a starší verze Systém Windows 8.0 a 8.1
Přehrávač Adobe Flash Player pro systém Linux 11.2.202.548 a starší verze Linux
Běhové prostředí AIR pro stolní počítače 19.0.0.241 a starší verze Windows a Macintosh
Sada AIR SDK 19.0.0.241 a starší verze Windows, Macintosh, Android a iOS
Sada SDK a kompilátor prostředí AIR 19.0.0.241 a starší verze Windows, Macintosh, Android a iOS
Prostředí AIR pro systém Android 19.0.0.241 a starší verze Android
  • Chcete-li ověřit verzi aplikace Adobe Flash Player nainstalovanou ve vašem systému, přejděte na stránku O aplikaci Flash Player nebo klikněte pravým tlačítkem myši na obsah přehrávaný v aplikaci Flash Player a vyberte z nabídky možnost „O aplikaci Adobe (nebo Macromedia) Flash Player“. Pokud používáte více prohlížečů, proveďte tuto kontrolu u každého prohlížeče, který jste v systému nainstalovali.  
  • Chcete-li ověřit verzi prostředí Adobe AIR nainstalovanou v systému, postupujte dle návodu v Technické poznámce pro prostředí Adobe AIR.

Řešení

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Aktualizované verze Platforma Dostupnost
Adobe Flash Player Desktop Runtime (podpora pro prohlížeč Internet Explorer)
20.0.0.228 Windows a Macintosh
1

Centrum stahování přehrávače Flash Player

Distribuce přehrávače Flash Player

Adobe Flash Player Desktop Runtime (podpora pro prohlížeče Firefox a Safari) 20.0.0.235 Windows a Macintosh 1

Centrum stahování přehrávače Flash Player  

Distribuce přehrávače Flash Player

Adobe Flash Player Extended Support Release 18.0.0.268 Windows a Macintosh
1 Rozšířená podpora
Přehrávač Adobe Flash Player pro prohlížeč Google Chrome 20.0.0.228 Windows, Macintosh, Linux a ChromeOS    1 Verze Google Chrome
Přehrávač Adobe Flash Player pro prohlížeče Microsoft Edge a Internet Explorer 11 20.0.0.228 Windows 10 1 Informační zpravodaje zabezpečení společnosti Microsoft
Přehrávač Adobe Flash Player pro prohlížeč Internet Explorer 10 a 11 20.0.0.228 Systém Windows 8.0 a 8.1
1 Informační zpravodaje zabezpečení společnosti Microsoft
Přehrávač Adobe Flash Player pro systém Linux 11.2.202.554 Linux 3 Centrum stahování přehrávače Flash Player
Běhové prostředí AIR pro stolní počítače 20.0.0.204 Windows a Macintosh 3 Centrum stahování prostředí AIR
Sada AIR SDK 20.0.0.204 Windows, Macintosh, Android a iOS 3 Stažení sady AIR SDK
Sada SDK a kompilátor prostředí AIR 20.0.0.204 Windows, Macintosh, Android a iOS 3 Stažení sady AIR SDK
Prostředí AIR pro systém Android 20.0.0.204 Android 3 Google Play
  • Společnost Adobe doporučuje uživatelům softwaru Adobe Flash Player Desktop Runtime pro systémy Windows a Macintosh, aby si nainstalovali aktualizace na verzi 20.0.0.228 (podpora pro prohlížeč Internet Explorer) a 20.0.0.235 (podpora pro prohlížeče Firefox a Safari), kterou mohou získat z centra stahování přehrávače Adobe Flash Player nebo na výzvu prostřednictvím aktualizačního mechanismu v produktu [1].
  • Společnost Adobe doporučuje uživatelům přehrávače Adobe Flash Player Extended Support Release přejít na verzi 18.0.0.268, kterou si mohou stáhnout z adresy http://helpx.adobe.com/cz/flash-player/kb/archived-flash-player-versions.html.
  • Společnost Adobe doporučuje uživatelům aplikace Adobe Flash Player pro systém Linux přejít na verzi Adobe Flash Player 11.2.202.554, kterou si mohou stáhnout z centra stahování aplikace Adobe Flash Player.
  • Aplikace Adobe nainstalovaná s prohlížečem Google Chrome se automaticky aktualizuje na nejnovější verzi prohlížeče Google Chrome, která bude obsahovat aplikaci Adobe Flash Player 20.0.0.228 pro systémy Windows, Macintosh, Linux a Chrome OS.
  • Přehrávač Adobe Flash Player nainstalovaný s prohlížeči Microsoft Edge a Internet Explorer pro systém Windows 10 se automaticky aktualizuje na nejnovější verzi, která bude obsahovat přehrávač Adobe Flash Player 20.0.0.228. 
  • Aplikace Adobe Flash Player nainstalovaná s aplikací Internet Explorer pro Windows 8.x se automaticky aktualizuje na nejnovější verzi, která bude obsahovat Adobe Flash Player 20.0.0.228.
  • Společnost Adobe doporučuje uživatelům běhového prostředí AIR pro stolní počítače, sady AIR SDK a sady SDK a kompilátoru prostředí AIR, aby provedli aktualizaci na verzi 20.0.0.204 prostřednictvím Centra stahování prostředí AIR nebo Centra pro vývojáře prostředí AIR
  • Pomoc s instalací přehrávače Flash Player najdete na stránce Nápověda k přehrávači Flash Player.
 
[1] Uživatelé aplikace Flash Player 11.2.x nebo novější verze pro Windows nebo uživatelé aplikace Flash Player 11.3.x nebo novější verze pro Macintosh, kteří vybrali možnost Povolit společnosti Adobe instalovat aktualizace, obdrží tuto aktualizaci automaticky. Pokud uživatelé nepovolili instalaci aktualizací od společnosti Adobe, mohou ji nainstalovat prostřednictvím aktualizačního mechanismu příslušného produktu, jakmile k tomu budou vyzváni.

Podrobnosti o chybě zabezpečení

  • Tyto aktualizace řeší chyby zabezpečení spočívající v přetečení vyrovnávací paměti haldy, které mohou vést ke spuštění kódu (CVE-2015-8438, CVE-2015-8446).
  • Tyto aktualizace řeší chyby zabezpečení spočívající v poškození paměti, které může vést ke spuštění kódu (CVE-2015-8444, CVE-2015-8443, CVE-2015-8417, CVE-2015-8416, CVE-2015-8451, CVE-2015-8047, CVE-2015-8455, CVE-2015-8045, CVE-2015-8418, CVE-2015-8060, CVE-2015-8419, CVE-2015-8408, CVE-2015-8652, CVE-2015-8654, CVE-2015-8656, CVE-2015-8657, CVE-2015-8658, CVE-2015-8820).
  • Tyto aktualizace odstraňují chyby zabezpečení, které umožňují obejít ochranu (CVE-2015-8453, CVE-2015-8440, CVE-2015-8409).
  • Tyto aktualizace řeší chybu zabezpečení spočívající v přetečení zásobníku, která může vést ke spuštění kódu (CVE-2015-8407, CVE-2015-8457).
  • Tyto aktualizace řeší chybu zabezpečení spočívající v záměně typu, která může vést ke spuštění kódu (CVE-2015-8439, CVE-2015-8456).
  • Tyto aktualizace řeší chybu zabezpečení spočívající v přetečení celého čísla, která může vést ke spuštění kódu (CVE-2015-8445).
  • Tyto aktualizace řeší chybu zabezpečení spočívající v přetečení vyrovnávací paměti, která může vést ke spuštění kódu (CVE-2015-8415)
  • Tyto aktualizace odstraňují chyby zabezpečení typu use-after-free, které mohou vést ke spuštění kódu (CVE-2015-8050, CVE-2015-8049, CVE-2015-8437, CVE-2015-8450, CVE-2015-8449, CVE-2015-8448, CVE-2015-8436, CVE-2015-8452, CVE-2015-8048, CVE-2015-8413, CVE-2015-8412, CVE-2015-8410, CVE-2015-8411, CVE-2015-8424, CVE-2015-8422, CVE-2015-8420, CVE-2015-8421, CVE-2015-8423, CVE-2015-8425, CVE-2015-8433, CVE-2015-8432, CVE-2015-8431, CVE-2015-8426, CVE-2015-8430, CVE-2015-8427, CVE-2015-8428, CVE-2015-8429, CVE-2015-8434, CVE-2015-8435, CVE-2015-8414, CVE-2015-8454, CVE-2015-8059, CVE-2015-8058, CVE-2015-8055, CVE-2015-8057, CVE-2015-8056, CVE-2015-8061, CVE-2015-8067, CVE-2015-8066, CVE-2015-8062, CVE-2015-8068, CVE-2015-8064, CVE-2015-8065, CVE-2015-8063, CVE-2015-8405, CVE-2015-8404, CVE-2015-8402, CVE-2015-8403, CVE-2015-8071, CVE-2015-8401, CVE-2015-8406, CVE-2015-8069, CVE-2015-8070, CVE-2015-8441, CVE-2015-8442, CVE-2015-8447, CVE-2015-8653, CVE-2015-8655, CVE-2015-8822, CVE-2015-8821, CVE-2015-8823).

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím: 

  • AbdulAziz Hariri spolupracující v rámci iniciativy Zero Day Initiative společnosti HPE (CVE-2015-8652, CVE-2015-8653, CVE-2015-8654, CVE-2015-8656, CVE-2015-8657, CVE-2015-8822, CVE-2015-8658, CVE-2015-8820, CVE-2015-8821)
  • Anonym spolupracující v rámci iniciativy Zero Day Initiative společnosti HPE (CVE-2015-8050, CVE-2015-8049, CVE-2015-8437, CVE-2015-8438, CVE-2015-8446, CVE-2015-8655, CVE-2015-8823)
  • bee13oy spolupracující s programem Chromium Vulnerability Rewards Program (CVE-2015-8418)
  • bilou spolupracující s iniciativou HPE Zero Day Initiative (CVE-2015-8450, CVE-2015-8449, CVE-2015-8448, CVE-2015-8442, CVE-2015-8447, CVE-2015-8445, CVE-2015-8439)
  • Furugawa Nagisa spolupracující s iniciativou HPE Zero Day Initiative (CVE-2015-8436)
  • Hui Gao ze společnosti Palo Alto Networks (CVE-2015-8443, CVE-2015-8444)
  • instruder ze střediska Alibaba Security Threat Information Center (CVE-2015-8060, CVE-2015-8408, CVE-2015-8419)
  • Jie Zeng ze společnosti Qihoo 360 (-8415, CVE-2015-, CVE-2015-8417)
  • Jie Zeng ze společnosti Qihoo 360 a anonym spolupracující v rámci iniciativy Zero Day Initiative společnosti HPE (CVE-2015-8416)
  • LMX ze společnosti Qihoo 360 (CVE-2015-8451, CVE-2015-8452)
  • Natalie Silvanovich z projektu Google Project Zero (CVE-2015-8048, CVE-2015-8413, CVE-2015-8412, CVE-2015-8410, CVE-2015-8411, CVE-2015-8424, CVE-2015-8422, CVE-2015-8420, CVE-2015-8421, CVE-2015-8423, CVE-2015-8425, CVE-2015-8433, CVE-2015-8432, CVE-2015-8431, CVE-2015-8426, CVE-2015-8430, CVE-2015-8427, CVE-2015-8428, CVE-2015-8429, CVE-2015-8434, CVE-2015-8456)
  • Nicolas Joly z týmu Microsoft Security (CVE-2015-8414, CVE-2015-8435)
  • s3tm3m spolupracující v rámci iniciativy Zero Day Initiative společnosti HP (CVE-2015-8457)
  • VUPEN spolupracující s iniciativou HPE Zero Day Initiative (CVE-2015-8453)
  • willJ z týmu vývojářů softwaru Tencent PC Manager (CVE-2015-8407)
  • Yuki Chen z týmu Vulcan společnosti Qihoo 360 (CVE-2015-8454, CVE-2015-8059, CVE-2015-8058, CVE-2015-8055, CVE-2015-8057, CVE-2015-8056, CVE-2015-8061, CVE-2015-8067, CVE-2015-8066, CVE-2015-8062, CVE-2015-8068, CVE-2015-8064, CVE-2015-8065, CVE-2015-8063, CVE-2015-8405, CVE-2015-8404, CVE-2015-8402, CVE-2015-8403, CVE-2015-8071, CVE-2015-8401, CVE-2015-8406, CVE-2015-8069, CVE-2015-8070, CVE-2015-8440, CVE-2015-8409, CVE-2015-8047, CVE-2015-8455, CVE-2015-8045, CVE-2015-8441)

Verze

8. prosince 2015: Odebrána čísla CVE-2015-8051, CVE-2015-8052 a CVE-2015-8053 (všechna byla dříve přiřazena).  Přidána čísla CVE-2015-8418 (náhrada za CVE-2015-8051), CVE-2015-8454 (náhrada za CVE-2015-8052) a CVE-2015-8455 (náhrada za CVE-2015-8053).  Také bylo odebráno číslo CVE-2015-8054, které bylo omylem přidáno do původního bulletinu. 

9. prosince 2015: přidán záznam CVE-2015-8456 a CVE-2015-8457, který byl omylem z původního bulletinu vypuštěn. 

2. března 2016: přidány následující záznamy CVE, které byly omylem vypuštěny z původní verze: CVE-2015-8652, CVE-2015-8653, CVE-2015-8654, CVE-2015-8655, CVE-2015-8656, CVE-2015-8657, CVE-2015-8822, CVE-2015-8658, CVE-2015-8820, CVE-2015-8821.  

15. dubna 2016: přidán záznam CVE-2015-8823, který byl omylem z původní verze vypuštěn. 

3. června 2016: přidány zásluhy anonymu spolupracujícímu v rámci iniciativy Zero Day Initiative společnosti HPE k záznamu CVE-2015-8416. Stejné CVE bylo nezávisle nahlášeno také uživatelem Jie Zeng ze společnosti Qihoo 360.