Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Flash Player

Datum vydání: 7. dubna 2016

Poslední aktualizace: 12. dubna 2016

Identifikátor chyby zabezpečení: APSB16-10

Priorita: Viz tabulka níže

Číslo CVE: CVE-2016-1006, CVE-2016-1011, CVE-2016-1012, CVE-2016-1013, CVE-2016-1014, CVE-2016-1015, CVE-2016-1016, CVE-2016-1017, CVE-2016-1018, CVE-2016-1019, CVE-2016-1020, CVE-2016-1021, CVE-2016-1022, CVE-2016-1023, CVE-2016-1024, CVE-2016-1025, CVE-2016-1026, CVE-2016-1027, CVE-2016-1028, CVE-2016-1029, CVE-2016-1030, CVE-2016-1031, CVE-2016-1032, CVE-2016-1033

Platforma: Windows, Macintosh, Linux a ChromeOS

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro aplikaci Adobe Flash Player pro platformy Windows, Macintosh, Linux a ChromeOS.  Tyto aktualizace řeší kritické chyby zabezpečení, které potenciálně mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.  

Společnost Adobe si je vědoma, že je chyba zabezpečení CVE-2016-1019 aktivně zneužívána v zařízeních s operačním systémem Windows 10 a staršími verzemi s aplikací Flash Player verze 20.0.0.306 a staršími.  Více informací viz APSA16-01

Postižené verze

Produkt Postižené verze Platforma
Modul runtime Adobe Flash Player pro stolní počítače 21.0.0.197 a starší verze
Windows a Macintosh
Adobe Flash Player Extended Support Release 18.0.0.333 a starší verze Windows a Macintosh
Přehrávač Adobe Flash Player pro prohlížeč Google Chrome 21.0.0.197 a starší verze Windows, Macintosh, Linux a ChromeOS
Přehrávač Adobe Flash Player pro prohlížeče Microsoft Edge a Internet Explorer 11 21.0.0.197 a starší verze Systém Windows 10
Přehrávač Adobe Flash Player pro prohlížeč Internet Explorer 11 21.0.0.197 a starší verze Systém Windows 8.1
Přehrávač Adobe Flash Player pro systém Linux 11.2.202.577 a starší verze Linux
Běhové prostředí AIR pro stolní počítače 21.0.0.176 a starší verze Windows a Macintosh
Sada AIR SDK 21.0.0.176 a starší verze Windows, Macintosh, Android a iOS
Sada SDK a kompilátor prostředí AIR 21.0.0.176 a starší verze Windows, Macintosh, Android a iOS
  • Chcete-li ověřit verzi aplikace Adobe Flash Player nainstalovanou ve vašem systému, přejděte na stránku O aplikaci Flash Player nebo klikněte pravým tlačítkem myši na obsah přehrávaný v aplikaci Flash Player a vyberte z nabídky možnost „O aplikaci Adobe (nebo Macromedia) Flash Player“. Pokud používáte více prohlížečů, proveďte tuto kontrolu u každého prohlížeče, který jste v systému nainstalovali.  
  • Chcete-li ověřit verzi aplikace Adobe nainstalovanou ve vašem systému, postupujte podle návodu v Technické poznámcepro Adobe AIR.

Řešení

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Aktualizované verze Platforma Hodnocení priority Dostupnost
Modul runtime Adobe Flash Player pro stolní počítače
21.0.0.213 Windows a Macintosh
1

Centrum stahování přehrávače Flash Player

Distribuce přehrávače Flash Player

Adobe Flash Player Extended Support Release 18.0.0.343 Windows a Macintosh
1 Rozšířená podpora
Přehrávač Adobe Flash Player pro prohlížeč Google Chrome 21.0.0.213 Windows, Macintosh, Linux a ChromeOS    1 Verze Google Chrome
Přehrávač Adobe Flash Player pro prohlížeče Microsoft Edge a Internet Explorer 11 21.0.0.213 Windows 10 1 Informační zpravodaje zabezpečení společnosti Microsoft
Přehrávač Adobe Flash Player pro prohlížeč Internet Explorer 11 21.0.0.213 Windows 8.1
1 Informační zpravodaje zabezpečení společnosti Microsoft
Přehrávač Adobe Flash Player pro systém Linux 11.2.202.616 Linux 3 Centrum stahování přehrávače Flash Player
Běhové prostředí AIR pro stolní počítače 21.0.0.198 Windows a Macintosh 3 Centrum stahování prostředí AIR
Sada AIR SDK 21.0.0.198 Windows, Macintosh, Android a iOS 3 Stažení sady AIR SDK
Sada SDK a kompilátor prostředí AIR 21.0.0.198 Windows, Macintosh, Android a iOS 3 Stažení sady AIR SDK
  • Společnost Adobe doporučuje uživatelům modulu runtime Adobe Flash Player pro stolní počítače pro systémy Windows a Macintosh provést aktualizaci na verzi 21.0.0.213 pomocí funkce pro aktualizaci v rámci produktu, když k tomu budou vyzváni [1], případně mohou navštívit centrum pro stahování dat aplikace Adobe Flash Player.
  • Společnost Adobe doporučuje uživatelům přehrávače Adobe Flash Player Extended Support Release přejít na verzi 18.0.0.343, kterou si mohou stáhnout z adresy http://helpx.adobe.com/cz/flash-player/kb/archived-flash-player-versions.html.
  • Společnost Adobe doporučuje uživatelům přehrávače Adobe Flash Player pro systém Linux přejít na verzi Adobe Flash Player 11.2.202.616, kterou si mohou stáhnout z centra stahování aplikace Adobe Flash Player.
  • Přehrávač Adobe Flash Player nainstalovaný s prohlížečem Google Chrome se automaticky aktualizuje na nejnovější verzi prohlížeče Google Chrome, která bude obsahovat aplikaci Adobe Flash Player 21.0.0.213 pro systémy Windows, Macintosh, Linux a Chrome OS.
  • Přehrávač Adobe Flash Player nainstalovaný s prohlížeči Microsoft Edge a Internet Explorer pro systém Windows 10 se automaticky aktualizuje na nejnovější verzi, která bude obsahovat přehrávač Adobe Flash Player 21.0.0.213. 
  • Aplikace Adobe Flash Player nainstalovaná s prohlížečem Internet Explorer pro systém Windows 8.1 bude automaticky aktualizována na nejnovější verzi Adobe Flash Player 21.0.0.213.
  • Společnost Adobe doporučuje uživatelům běhového prostředí AIR pro stolní počítače, sady AIR SDK a sady SDK a kompilátoru prostředí AIR, aby provedli aktualizaci na verzi 21.0.0.198 prostřednictvím Centra stahování prostředí AIR nebo Centra pro vývojáře prostředí AIR.
  • Pomoc s instalací přehrávače Flash Player najdete na stránce Nápověda k přehrávači Flash Player.

 

[1] Uživatelé aplikace Flash Player 11.2.x nebo novější verze pro Windows nebo uživatelé aplikace Flash Player 11.3.x nebo novější verze pro Macintosh, kteří vybrali možnost Povolit společnosti Adobe instalovat aktualizace, obdrží tuto aktualizaci automaticky. Pokud uživatelé nepovolili instalaci aktualizací od společnosti Adobe, mohou ji nainstalovat prostřednictvím aktualizačního mechanismu příslušného produktu, jakmile k tomu budou vyzváni.

Podrobnosti o chybě zabezpečení

  • Tyto aktualizace zvyšují odolnost vůči útokům typu JIT spraying, které by mohly být zneužity k obejití prvků pro ochranu před randomizací rozvržení paměti (CVE-2016-1006).
  • Tyto aktualizace řeší chyby zabezpečení způsobující záměnu typů, které by mohly vést ke spuštění kódu (CVE--2016-1015, CVE-2016-1019).
  • Tyto aktualizace řeší chyby zabezpečení spočívající v možnosti použití paměti po uvolnění, která může vést ke spuštění kódu (CVE-2016-1011, CVE-2016-1013, CVE-2016-1016, CVE-2016-1017, CVE-2016-1031).
  • Tyto aktualizace řeší chyby zabezpečení spočívající v poškození paměti, které může vést ke spuštění kódu (CVE-2016-1012, CVE-2016-1020, CVE-2016-1021, CVE-2016-1022, CVE-2016-1023, CVE-2016-1024, CVE-2016-1025, CVE-2016-1026, CVE-2016-1027, CVE-2016-1028, CVE-2016-1029, CVE-2016-1032, CVE-2016-1033).
  • Tyto aktualizace řeší chyby zabezpečení spočívající v přetečení zásobníku, která může vést ke spuštění kódu (CVE-2016-1018).
  • Tyto aktualizace řeší chybu zabezpečení týkající se obejití zabezpečení (CVE-2016-1030).
  • Tyto aktualizace řeší chyby zabezpečení spočívající v cestě hledání adresářů používané k vyhledání zdrojů, které mohou vést ke spuštění kódu (CVE-2016-1014).

Poděkování

  • Yuki Chen z týmu Qihoo 360 Vulcan Team spolupracující s iniciativou ZDI společnosti Trend Micro (CVE-2016-1015, CVE-2016-1016, CVE-2016-1017)
  • Tencent PC Manager spolupracující s iniciativou ZDI společnosti Trend Micro (CVE-2016-1018)
  • Mateusz Jurczyk a Natalie Silvanovich z projektu Google Project Zero (CVE-2016-1011, CVE-2016-1013)
  • willj z týmu Tencent PC Manager (CVE-2016-1020, CVE-2016-1021, CVE-2016-1022, CVE-2016-1023, CVE-2016-1024, CVE-2016-1025, CVE-2016-1026, CVE-2016-1027, CVE-2016-1028, CVE-2016-1029, CVE-2016-1031, CVE-2016-1032, CVE-2016-1033)
  • Stefan Kanthak (CVE-2016-1014)
  • bo13oy ze společnosti CloverSec Labs (CVE-2016-1012)
  • Kang Yang ze společnosti Qihoo 360 (CVE-2016-1006)
  • Nicolas Joly z bezpečnostního týmu společnosti Microsoft (CVE-2016-1030)
  • Kafeine (EmergingThreats/Proofpoint) a Genwei Jiang (FireEye, Inc.) a dále Clement Lecigne ze společnosti Google (CVE-2016-1019)

Verze

12. dubna 2016: Přidány informace o dostupnosti aktualizací pro rozhraní AIR k číslům CVE uváděným v tomto bulletinu.