Bezpečnostní bulletin společnosti Adobe

Datum vydání: 14. března 2017

Poslední aktualizace: 13. dubna 2017

Identifikátor chyby·zabezpečení: APSB17-07

Priorita: viz následující tabulka

Číslo CVE: CVE-2017-2994, CVE-2017-2997, CVE-2017-2998, CVE-2017-2999, CVE-2017-3000, CVE-2017-3001, CVE-2017-3002, CVE-2017-3003

Platforma: Windows, Macintosh, Linux a Chrome OS

Společnost Adobe vydala aktualizace zabezpečení pro aplikaci Adobe Flash Player pro operační systém Windows, Macintosh, Linux a Chrome OS. Tyto aktualizace řeší kritické chyby zabezpečení, které potenciálně mohou útočníkovi umožnit převzetí kontroly nad napadeným systémem.  

• Chcete-li ověřit verzi aplikace Adobe Flash Player nainstalovanou ve vašem systému, přejděte na stránku O aplikaci Flash Player nebo klikněte pravým tlačítkem myši na obsah přehrávaný v aplikaci Flash Player a vyberte z nabídky možnost „O aplikaci Adobe (nebo Macromedia) Flash Player“. Pokud používáte více prohlížečů, proveďte tuto kontrolu u každého prohlížeče, který jste v systému nainstalovali.  

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

• Společnost Adobe doporučuje uživatelům modulu runtime Adobe Flash Player pro stolní počítače se systémy Windows, Macintosh a Linux provést aktualizaci na verzi Adobe Flash Player 25.0.0.127 pomocí funkce pro aktualizaci v rámci produktu [1], případně mohou navštívit Centrum stahování aplikace Adobe Flash Player.
• Aplikace Adobe Flash Player nainstalovaná s prohlížečem Google Chrome se automaticky aktualizuje na nejnovější verzi prohlížeče Google Chrome, která bude obsahovat aplikaci Adobe Flash Player 25.0.0.127 pro systémy Windows, Macintosh, Linux a Chrome OS.
• Aplikace Adobe Flash Player nainstalovaná s prohlížeči Microsoft Edge a Internet Explorer 11 pro systémy Windows 10 a 8.1 se automaticky aktualizuje na nejnovější verzi, která bude obsahovat přehrávač Adobe Flash Player 25.0.0.127.
• Pomoc s instalací aplikace Flash Player najdete na stránce Nápověda k přehrávači Flash Player.

[1] Uživatelé, kteří označí možnost „Umožnit společnosti Adobe instalovat aktualizace“ obdrží tuto aktualizaci automaticky. Uživatelé, kteří nevybrali možnost „Povolit společnosti Adobe instalovat aktualizace“, mohou tuto aktualizaci nainstalovat pomocí aktualizačního mechanismu daného produktu, jakmile k tomu budou vyzváni.

• Tyto aktualizace řeší chybu zabezpečení spočívající v přetečení vyrovnávací paměti, která může vést ke spuštění kódu (CVE-2017-2997).
• Tyto aktualizace řeší chyby zabezpečení spočívající v poškození paměti, které mohou vést ke spuštění kódu (CVE-2017-2998, CVE-2017-2999).
• Tyto aktualizace řeší chybu zabezpečení spojenou s generátorem náhodných čísel, který lze použít k zahlcení systému a následnému neoprávněnému získání informací (CVE-2017-3000).
• Tyto aktualizace odstraňují chyby zabezpečení typu use-after-free, které mohou vést ke spuštění kódu (CVE-2017-2994, CVE-2017-3001, CVE-2017-3002, CVE-2017-3003).
  

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

• Tao Yan (@Ga1ois) ze společnosti Palo Alto Networks (CVE-2017-2997, CVE-2017-2998, CVE-2017-2999)
• Wang Chenyu a Wu Hongjun z univerzity Nanyang Technological University (CVE-2017-3000)
• Yuki Chen z týmu Vulcan společnosti Qihoo 360 spolupracující v rámci programu Chromium Vulnerability Rewards Program a anonymní uživatel spolupracující v rámci iniciativy Zero Day společnosti Trend Micro (CVE-2017-3001)
• Yuki Chen z týmu Vulcan společnosti Qihoo 360 spolupracující v rámci programu Chromium Vulnerability Rewards Program (CVE-2017-3002, CVE-2017-3003)
  
• bo13oy z organizace CloverSec Labs spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2017-2994).

13. dubna 2017: přidána reference na záznam CVE-2017-2994, který byl omylem z původního bulletinu vypuštěn.