Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Flash Player

Datum vydání: 14. února 2017

Poslední aktualizace: 13. dubna 2017

Identifikátor chyby·zabezpečení: APSB17-04

Priorita: viz následující tabulka

Číslo CVE: CVE-2017-2982,CVE-2017-2984, CVE-2017-2985, CVE-2017-2986, CVE-2017-2987, CVE-2017-2988,CVE-2017-2990, CVE-2017-2991, CVE-2017-2992, CVE-2017-2993, CVE-2017-2995, CVE-2017-2996

Platforma: Windows, Macintosh, Linux a Chrome OS

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro aplikaci Adobe Flash Player pro operační systém Windows, Macintosh, Linux a Chrome OS. Tyto aktualizace řeší kritické chyby zabezpečení, které potenciálně mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.  

Postižené verze

Produkt Postižené verze Platforma
Modul runtime Adobe Flash Player pro stolní počítače 24.0.0.194 a starší verze Windows, Macintosh a Linux
Přehrávač Adobe Flash Player pro prohlížeč Google Chrome 24.0.0.194 a starší verze Windows, Macintosh, Linux a Chrome OS
Přehrávač Adobe Flash Player pro prohlížeče Microsoft Edge a Internet Explorer 11 24.0.0.194 a starší verze Systém Windows 10 a 8.1
  • Chcete-li ověřit verzi aplikace Adobe Flash Player nainstalovanou ve vašem systému, přejděte na stránku O aplikaci Flash Player nebo klikněte pravým tlačítkem myši na obsah přehrávaný v aplikaci Flash Player a vyberte z nabídky možnost „O aplikaci Adobe (nebo Macromedia) Flash Player“. Pokud používáte více prohlížečů, proveďte tuto kontrolu u každého prohlížeče, který jste v systému nainstalovali.  

Řešení

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Aktualizované verze Platforma Hodnocení priority Dostupnost
Modul runtime Adobe Flash Player pro stolní počítače 24.0.0.221 Windows a Macintosh 1 Centrum stahování aplikace Flash Player
Distribuce aplikace Flash Player
Přehrávač Adobe Flash Player pro prohlížeč Google Chrome 24.0.0.221  Windows, Macintosh, Linux a Chrome OS 1 Verze Google Chrome
Přehrávač Adobe Flash Player pro prohlížeče Microsoft Edge a Internet Explorer 11 24.0.0.221 Systém Windows 10 a 8.1 1 Informační zpravodaje zabezpečení společnosti Microsoft
Modul runtime Adobe Flash Player pro stolní počítače 24.0.0.221 Linux 3 Centrum stahování přehrávače Flash Player
  • Společnost Adobe doporučuje uživatelům modulu runtime Adobe Flash Player pro stolní počítače se systémy Windows, Macintosh a Linux provést aktualizaci na verzi Adobe Flash Player 24.0.0.221 pomocí funkce pro aktualizaci v rámci produktu [1], případně mohou navštívit Centrum stahování aplikace Adobe Flash Player.
  • Aplikace Adobe Flash Player nainstalovaná s prohlížečem Google Chrome se automaticky aktualizuje na nejnovější verzi prohlížeče Google Chrome, která bude obsahovat aplikaci Adobe Flash Player 24.0.0.221 pro systémy Windows, Macintosh, Linux a Chrome OS.
  • Aplikace Adobe Flash Player nainstalovaná s prohlížeči Microsoft Edge a Internet Explorer 11 pro systémy Windows 10 a 8.1 se automaticky aktualizuje na nejnovější verzi, která bude obsahovat přehrávač Adobe Flash Player 24.0.0.221.
  • Pomoc s instalací aplikace Flash Player najdete na stránce Nápověda k přehrávači Flash Player.

[1] Uživatelé aplikace Flash Player 11.2.x nebo novější verze pro systémy Windows nebo uživatelé aplikace Flash Player 11.3.x nebo novější verze pro systémy Macintosh, kteří vybrali možnost „Povolit společnosti Adobe instalovat aktualizace“, obdrží tuto aktualizaci automaticky. Uživatelé, kteří nevybrali možnost „Povolit společnosti Adobe instalovat aktualizace“, mohou tuto aktualizaci nainstalovat pomocí aktualizačního mechanismu daného produktu, jakmile k tomu budou vyzváni.

Podrobnosti o chybě zabezpečení

  • Tyto aktualizace řeší chybu zabezpečení spočívající v záměně typu, která může vést ke spuštění kódu (CVE-2017-2995).
  • Tyto aktualizace řeší chybu zabezpečení spočívající v přetečení celého čísla, která může vést ke spuštění kódu (CVE-2017-2987).
  • Tyto aktualizace odstraňují chyby zabezpečení typu use-after-free, které mohou vést ke spuštění kódu (CVE-2017-2982, CVE-2017-2985, CVE-2017-2993).
  • Tyto aktualizace řeší chyby zabezpečení spojené s přetečením vyrovnávací paměti haldy, které by mohly vést ke spuštění kódu (CVE-2017- 2984, CVE-2017-2986, CVE-2017-2992).
  • Tyto aktualizace řeší chyby zabezpečení spočívající v poškození paměti, které by mohly vést ke spuštění kódu (CVE-2017-2988, CVE-2017-2990, CVE-2017-2991, CVE-2017-2996).

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Mateusz Jurczyk a Natalie Silvanovichová z týmu Google Project Zero (CVE-2017-2985, CVE-2017-2986, CVE-2017-2988, CVE-2017-2992).
  • Nicolas Joly z programu Microsoft Vulnerability Research (CVE-2017-2993).
  • Tao Yan ze společnosti Palo Alto Networks (CVE-2017-2982, CVE-2017-2996).
  • Kai Lu z centra FortiGuard Labs společnosti Fortinet pracující v rámci programu Chromium Vulnerability Rewards (CVE-2017-2984, CVE-2017-2990, CVE-2017-2991).
  • bo13oy z organizace CloverSec Labs spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (, CVE-2017-2995).

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Dhanesh Kizhakkinan ze společnosti FireEye a také Peter Pi ze společnosti TrendMicro (CVE-2015-5122)
  • Peter Pi ze společnosti TrendMicro a také slipstream/RoL (@TheWack0lian) (CVE-2015-5123)

Verze

13. dubna 2017: odebrána reference na záznam CVE-2017-2994, který byl omylem přidán do původního bulletinu. Přesunutí reference na záznam CVE-2017-2994 z této verze do verze APSB17-07