Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Flash Player

Datum vydání: 12. července 2016

Poslední aktualizace: 3. října 2016

Identifikátor chyby zabezpečení: APSB16-25

Priorita: Viz tabulka níže

Čísla CVE: CVE-2016-4172, CVE-2016-4173, CVE-2016-4174, CVE-2016-4175, CVE-2016-4176, CVE-2016-4177, CVE-2016-4178, CVE-2016-4179, CVE-2016-4180, CVE-2016-4181, CVE-2016-4182, CVE-2016-4183, CVE-2016-4184, CVE-2016-4185, CVE-2016-4186, CVE-2016-4187, CVE-2016-4188, CVE-2016-4189, CVE-2016-4190, CVE-2016-4217, CVE-2016-4218, CVE-2016-4219, CVE-2016-4220, CVE-2016-4221, CVE-2016-4222, CVE-2016-4223, CVE-2016-4224, CVE-2016-4225, CVE-2016-4226, CVE-2016-4227, CVE-2016-4228, CVE-2016-4229, CVE-2016-4230, CVE-2016-4231, CVE-2016-4232, CVE-2016-4233, CVE-2016-4234, CVE-2016-4235, CVE-2016-4236, CVE-2016-4237, CVE-2016-4238, CVE-2016-4239, CVE-2016-4240, CVE-2016-4241, CVE-2016-4242, CVE-2016-4243, CVE-2016-4244, CVE-2016-4245, CVE-2016-4246, CVE-2016-4247, CVE-2016-4248, CVE-2016-4249, CVE-2016-7020

Platforma: Windows, Macintosh, Linux a ChromeOS

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro aplikaci Adobe Flash Player pro platformy Windows, Macintosh, Linux a ChromeOS.  Tyto aktualizace řeší kritické chyby zabezpečení, které potenciálně mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.  

Postižené verze

Produkt Postižené verze Platforma
Modul runtime Adobe Flash Player pro stolní počítače 22.0.0.192 a starší verze
Windows a Macintosh
Adobe Flash Player Extended Support Release 18.0.0.360 a starší verze Windows a Macintosh
Přehrávač Adobe Flash Player pro prohlížeč Google Chrome 22.0.0.192 a starší verze Windows, Macintosh, Linux a ChromeOS
Přehrávač Adobe Flash Player pro prohlížeče Microsoft Edge a Internet Explorer 11 22.0.0.192 a starší verze Systém Windows 10 a 8.1
Přehrávač Adobe Flash Player pro systém Linux 11.2.202.626 a starší verze Linux
  • Chcete-li ověřit verzi aplikace Adobe Flash Player nainstalovanou ve vašem systému, přejděte na stránku O aplikaci Flash Player nebo klikněte pravým tlačítkem myši na obsah přehrávaný v aplikaci Flash Player a vyberte z nabídky možnost „O aplikaci Adobe (nebo Macromedia) Flash Player“. Pokud používáte více prohlížečů, proveďte tuto kontrolu u každého prohlížeče, který jste v systému nainstalovali.  

Řešení

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Aktualizované verze Platforma Hodnocení priority Dostupnost
Modul runtime Adobe Flash Player pro stolní počítače
22.0.0.209 Windows a Macintosh
1

Centrum stahování přehrávače Flash Player

Distribuce přehrávače Flash Player

Adobe Flash Player Extended Support Release 18.0.0.366 Windows a Macintosh
1 Rozšířená podpora
Přehrávač Adobe Flash Player pro prohlížeč Google Chrome 22.0.0.209 Windows, Macintosh, Linux a ChromeOS   1 Verze Google Chrome
Přehrávač Adobe Flash Player pro prohlížeče Microsoft Edge a Internet Explorer 11 22.0.0.209 Systém Windows 10 a 8.1 1 Informační zpravodaje zabezpečení společnosti Microsoft
Přehrávač Adobe Flash Player pro systém Linux 11.2.202.632 Linux 3 Centrum stahování přehrávače Flash Player
  • Společnost Adobe doporučuje uživatelům modulu runtime Adobe Flash Player pro stolní počítače pro systémy Windows a Macintosh provést aktualizaci na verzi 22.0.0.209 pomocí funkce pro aktualizaci v rámci produktu, když k tomu budou vyzváni [1], případně mohou navštívit centrum pro stahování dat aplikace Adobe Flash Player.
  • Společnost Adobe doporučuje uživatelům přehrávače Adobe Flash Player Extended Support Release přejít na verzi 18.0.0.366, kterou si mohou stáhnout z adresy http://helpx.adobe.com/cz/flash-player/kb/archived-flash-player-versions.html.
  • Společnost Adobe doporučuje uživatelům přehrávače Adobe Flash Player pro systém Linux přejít na verzi Adobe Flash Player 11.2.202.632, kterou si mohou stáhnout z centra stahování aplikace Adobe Flash Player.
  • Přehrávač Adobe Flash Player nainstalovaný s prohlížečem Google Chrome se automaticky aktualizuje na nejnovější verzi prohlížeče Google Chrome, která bude obsahovat aplikaci Adobe Flash Player 22.0.0.209 pro systémy Windows, Macintosh, Linux a Chrome OS.
  • Přehrávač Adobe Flash Player nainstalovaný s prohlížeči Microsoft Edge a Internet Explorer pro systém Windows 10 a 8.1 se automaticky aktualizuje na nejnovější verzi, která bude obsahovat přehrávač Adobe Flash Player 22.0.0.209. 
  • Pomoc s instalací přehrávače Flash Player najdete na stránce Nápověda k přehrávači Flash Player.

[1] Uživatelé aplikace Flash Player 11.2.x nebo novější verze pro Windows nebo uživatelé aplikace Flash Player 11.3.x nebo novější verze pro Macintosh, kteří vybrali možnost Povolit společnosti Adobe instalovat aktualizace, obdrží tuto aktualizaci automaticky. Pokud uživatelé nepovolili instalaci aktualizací od společnosti Adobe, mohou ji nainstalovat prostřednictvím aktualizačního mechanismu příslušného produktu, jakmile k tomu budou vyzváni.

Podrobnosti o chybě zabezpečení

  • Tyto aktualizace řeší chybu zabezpečení týkající se konfliktu časování, která může vést k odhalení informací (CVE-2016-4247).
  • Tyto aktualizace řeší chybu zabezpečení týkající se záměny typu, které mohou vést ke spuštění kódu (CVE-2016-4223, CVE-2016-4224, CVE-2016-4225).
  • Tyto aktualizace řeší chyby zabezpečení umožňující využití paměti po uvolnění, které mohou vést ke spuštění kódu (CVE-2016-4173, CVE-2016-4174, CVE-2016-4222, CVE-2016-4226, CVE-2016-4227, CVE-2016-4228, CVE-2016-4229, CVE-2016-4230, CVE-2016-4231, CVE-2016-4248, CVE-2016-7020).
  • Tyto aktualizace řeší chybu zabezpečení spočívající v přetečení vyrovnávací paměti haldy, která může vést ke spuštění kódu (CVE-2016-4249).
  • Tyto aktualizace odstraňují chyby zabezpečení spojené s poškozením pamětí, které mohou vést ke spuštění kódu (CVE-2016-4172, CVE-2016-4175, CVE-2016-4179, CVE-2016-4180, CVE-2016-4181, CVE-2016-4182, CVE-2016-4183, CVE-2016-4184, CVE-2016-4185, CVE-2016-4186, CVE-2016-4187, CVE-2016-4188, CVE-2016-4189, CVE-2016-4190, CVE-2016-4217, CVE-2016-4218, CVE-2016-4219, CVE-2016-4220, CVE-2016-4221, CVE-2016-4233, CVE-2016-4234, CVE-2016-4235, CVE-2016-4236, CVE-2016-4237, CVE-2016-4238, CVE-2016-4239, CVE-2016-4240, CVE-2016-4241, CVE-2016-4242, CVE-2016-4243, CVE-2016-4244, CVE-2016-4245, CVE-2016-4246).
  • Tyto aktualizace řeší chybu zabezpečení týkající se úniku paměti (CVE-2016-4232).
  • Tyto aktualizace řeší chyby zabezpečení spočívající v úniku paměti, které mohou vést ke spuštění kódu (CVE-2016-4176, CVE-2016-4177).
  • Tyto aktualizace řeší chybu zabezpečení týkající se obejití zabezpečení, která může vést k odhalení informací (CVE-2016-4178)

Poděkování

  • Yuki Chen z týmu Vulcan společnosti Qihoo 360 spolupracující v rámci programu Chromium Vulnerability Rewards Program (CVE-2016-4249)
  • Nicolas Joly z programu Microsoft Vulnerability Research (CVE-2016-4173)
  • Wen Guanxing ze společnosti Pangu LAB (CVE-2016-4188, CVE-2016-4248)
  • Jaehun Jeong(@n3sk) z týmu WINS WSEC Analysis Team spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2016-4222)
  • Kai Kang (známý také jako 4B5F5F4B) spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2016-4174)
  • willJ, manažer společnosti Tencent PC (CVE-2016-4172)
  • Natalie Silvanovich z programu Google Project Zero (CVE-2016-4226, CVE-2016-4227, CVE-2016-4228, CVE-2016-4229, CVE-2016-4230, CVE-2016-4231, CVE-2016-4232)
  • Garandou Sara spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2016-4223)
  • Sébastien Morin ze společnosti COSIG (CVE-2016-4179)
  • Sébastien Morin ze společnosti COSIG a Francis Provencher ze společnosti COSIG (CVE-2016-4175)
  • Kurutsu Karen spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2016-4225)
  • Soroush Dalili a Matthew Evans from NCC Group (CVE-2016-4178)
  • Yuki Chen z týmu Qihoo 360 Vulcan Team (CVE-2016-4180, CVE-2016-4181, CVE-2016-4183, CVE-2016-4184, CVE-2016-4185, CVE-2016-4186, CVE-2016-4187, CVE-2016-4233, CVE-2016-4234, CVE-2016-4235, CVE-2016-4236, CVE-2016-4239, CVE-2016-4240, CVE-2016-4241, CVE-2016-4242, CVE-2016-4243, CVE-2016-4244, CVE-2016-4245, CVE-2016-4246)
  • Yuki Chen z týmu Qihoo 360 Vulcan Team, Wen Guanxing z laboratoře Pangu LAB a Tao Yan ze společnosti Palo Alto Networks (CVE-2016-4182)
  • Yuki Chek z týmu Qihoo 360 Vulcan Team a Tao Yan ze společnosti Palo Alto Networks (CVE-2016-4237, CVE-2016-4238) 
  • Junfeng Yang a Genwei Jiang ze společnosti FireEye a Yuki Chen z týmu Qihoo 360 Vulcan Team (CVE-2016-4185)
  • Ohara Rinne spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2016-4224)
  • Francis Provencher ze společnosti COSIG (CVE-2016-4176, CVE-2016-4177)
  • Jie Zeng ze společnosti Tencent Zhanlu Lab (CVE-2016-4189, CVE-2016-4190, CVE-2016-4217, CVE-2016-4218, CVE-2016-4219, CVE-2016-4220, CVE-2016-4221)
  • JieZeng z laboratoře Tencent Zhanlu Lab spolupracující v programu Chromium Vulnerability Rewards Program (CVE-2016-7020)
  • Stefan Kanthak (CVE-2016-4247)

Verze

22. srpna 2016: přidány zásluhy za záznam CVE-2016-4237, CVE-2016-4238 a CVE-2016-4182 uživateli Tao Yan ze společnosti Palo Alto Networks.   

26. srpna 2016: přidány zásluhy za záznam CVE-2016-4175. 

3. října 2016: přidány zásluhy za záznam CVE-2016-7020.