Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Flash Player

Datum vydání: 13. prosince 2016

Poslední aktualizace: 14. prosince 2016

Identifikátor chyby zabezpečení: APSB16-39

Priorita: Viz tabulka níže

Číslo CVE: CVE-2016-7867, CVE-2016-7868, CVE-2016-7869, CVE-2016-7870, CVE-2016-7871, CVE-2016-7872, CVE-2016-7873, CVE-2016-7874, CVE-2016-7875, CVE-2016-7876, CVE-2016-7877, CVE-2016-7878, CVE-2016-7879, CVE-2016-7880, CVE-2016-7881, CVE-2016-7890, CVE-2016-7892

Platforma: Windows, Macintosh, Linux a Chrome OS

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro aplikaci Adobe Flash Player pro operační systém Windows, Macintosh, Linux a Chrome.  Tyto aktualizace řeší kritické chyby zabezpečení, které potenciálně mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.  

Společnost Adobe si je vědoma, že lze chybu zabezpečení CVE-2016-7892 zneužít a že je zneužívána při omezeném počtu útoků cílených na uživatele systému Windows, kteří používají 32bitový prohlížeč Internet Explorer.

Postižené verze

Produkt Postižené verze Platforma
Modul runtime Adobe Flash Player pro stolní počítače 23.0.0.207 a starší verze
Windows a Macintosh
Přehrávač Adobe Flash Player pro prohlížeč Google Chrome 23.0.0.207 a starší verze Windows, Macintosh, Linux a Chrome OS
Přehrávač Adobe Flash Player pro prohlížeče Microsoft Edge a Internet Explorer 11 23.0.0.207 a starší verze Systém Windows 10 a 8.1
Přehrávač Adobe Flash Player pro systém Linux 11.2.202.644 a starší verze Linux
  • Chcete-li ověřit verzi aplikace Adobe Flash Player nainstalovanou ve vašem systému, přejděte na stránku O aplikaci Flash Player nebo klikněte pravým tlačítkem myši na obsah přehrávaný v aplikaci Flash Player a vyberte z nabídky možnost „O aplikaci Adobe (nebo Macromedia) Flash Player“. Pokud používáte více prohlížečů, proveďte tuto kontrolu u každého prohlížeče, který jste v systému nainstalovali.  

Řešení

Společnost Adobe označuje tyto aktualizace následujícími hodnoceními priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:
Produkt Aktualizované verze Platforma Hodnocení priority Dostupnost
Modul runtime Adobe Flash Player pro stolní počítače
24.0.0.186 Windows a Macintosh
1 Centrum stahování aplikace Flash Player
Distribuce aplikace Flash Player
Přehrávač Adobe Flash Player pro prohlížeč Google Chrome 24.0.0.186 Windows, Macintosh, Linux a Chrome OS 1 Verze Google Chrome
Přehrávač Adobe Flash Player pro prohlížeče Microsoft Edge a Internet Explorer 11 24.0.0.186 Systém Windows 10 a 8.1 1 Informační zpravodaje zabezpečení společnosti Microsoft
Přehrávač Adobe Flash Player pro systém Linux 24.0.0.186 Linux 3 Centrum stahování přehrávače Flash Player
  • Společnost Adobe doporučuje uživatelům modulu runtime Adobe Flash Player pro stolní počítače pro systémy Windows a Macintosh provést aktualizaci na verzi 24.0.0.186 pomocí funkce pro aktualizaci v rámci produktu [1], případně mohou navštívit centrum pro stahování dat aplikace Adobe Flash Player.
  • Společnost Adobe doporučuje uživatelům přehrávače Adobe Flash Player pro systém Linux přejít na verzi Adobe Flash Player 24.0.0.186, kterou si mohou stáhnout z centra stahování aplikace Adobe Flash Player.
  • Přehrávač Adobe Flash Player nainstalovaný s prohlížečem Google Chrome se automaticky zaktualizuje na nejnovější verzi prohlížeče Google Chrome, která bude obsahovat aplikaci Adobe Flash Player 24.0.0.186 pro systémy Windows, Macintosh, Linux a Chrome OS.
  • Aplikace Adobe Flash Player nainstalovaná s prohlížeči Microsoft Edge a Internet Explorer 11 pro systémy Windows 10 a 8.1 se automaticky zaktualizuje na nejnovější verzi, která bude obsahovat přehrávač Adobe Flash Player 24.0.0.186. 
  • Pomoc s instalací přehrávače Flash Player najdete na stránce Nápověda k přehrávači Flash Player.

[1] Uživatelé aplikace Flash Player 11.2.x nebo novější verze pro Windows nebo uživatelé aplikace Flash Player 11.3.x nebo novější verze pro Macintosh, kteří vybrali možnost Povolit společnosti Adobe instalovat aktualizace, obdrží tuto aktualizaci automaticky. Pokud uživatelé nepovolili instalaci aktualizací od společnosti Adobe, mohou ji nainstalovat prostřednictvím aktualizačního mechanismu příslušného produktu, jakmile k tomu budou vyzváni.

Podrobnosti o chybě zabezpečení

  • Tyto aktualizace řeší chyby zabezpečení umožňující využití paměti po uvolnění, které mohou vést ke spuštění kódu (CVE-2016-7872, CVE-2016-7877, CVE-2016-7878, CVE-2016-7879, CVE-2016-7880, CVE-2016-7881, CVE-2016-7892). 
  • Tyto aktualizace řeší chyby zabezpečení spočívající v přetečení vyrovnávací paměti, které mohou vést ke spuštění kódu (CVE-2016-7867, CVE-2016-7868, CVE-2016-7869, CVE-2016-7870). 
  • Tyto aktualizace řeší chyby zabezpečení spočívající v poškození paměti, které mohou vést ke spuštění kódu (CVE-2016-7871, CVE-2016-7873, CVE-2016-7874, CVE-2016-7875, CVE-2016-7876). 
  • Tyto aktualizace řeší chybu zabezpečení týkající se obejití zabezpečení (CVE-2016-7890).

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:
  • Nicolas Joly z programu Microsoft Vulnerability Research (CVE-2016-7877)
  • Wen Guanxing ze společnosti Pangu LAB pracující v rámci programu Zero Day Initiative společnosti Trend Micro (CVE-2016-7867, CVE-2016-7868)
  • willJ z týmu vývojářů softwaru Tencent PC Manager (CVE-2016-7876)
  • Saber pracující v rámci programu Zero Day Initiative společnosti Trend Micro (CVE-2016-7872)
  • JieZeng z laboratoře Tencent Zhanlu Lab spolupracující s programem Chromium Vulnerability Rewards Program (CVE-2016-7881)
  • kurusu nono pracující v rámci programu Zero Day Initiative společnosti Trend Micro (CVE-2016-7879)
  • Tao Yan(@Ga1ois) ze společnosti Palo Alto Networks (CVE-2016-7873, CVE-2016-7874)
  • bo13oy z organizace CloverSec Labs spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (-7875, CVE-2016-, CVE-2016-7878)
  • bo13oy ze společnosti CloverSec Labs pracující v rámci programu Zero Day Initiative společnosti Trend Micro a Tao Yan(@Ga1ois) ze společnosti Palo Alto Networks (CVE-2016-7871)
  • Yuki Chen z týmu 360 Vulcan (CVE-2016-7880)
  • WanderingGlitch – Trend Micro Zero Day Initiative pracující v rámci programu Zero Day Initiative společnosti Trend Micro (CVE-2016-7869, CVE-2016-7870)
  • Paulos Yibelo (CVE-2016-7890)
  • Anonymní výzkumník působící v rámci JPCERT/CC (CVE-2016-7892)

Verze

14. prosince 2016: upraveny zásluhy za záznam CVE-2016-7892