Zveřejnění aktualizací zabezpečení pro aplikaci Flash Player | APSB18-19
ID bulletinu Datum zveřejnění Priorita
APSB18-19 07/06/2018 1

Shrnutí

Společnost Adobe vydala aktualizace zabezpečení pro aplikaci Adobe Flash Player pro operační systém Windows, macOS, Linux a Chrome OS. Tyto aktualizace řeší kritické chyby zabezpečení v aplikaci Adobe Flash Player 29.0.0.171 a starších verzích.  Úspěšné zneužití by mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele.

Společnost Adobe si je vědoma, že chyba zabezpečení CVE-2018-5002 existuje a je zneužívána k omezenému počtu cílených útoků na uživatele používající systémy Windows. Tyto útoky zneužívají dokumenty aplikací sady Microsoft Office s integrovaným škodlivým obsahem Flash Player, které jsou šířeny e-mailem.

Dotčené verze produktu

Produkt Verze Platforma
Modul runtime Adobe Flash Player pro stolní počítače 29.0.0.171 a starší verze Windows, macOS a Linux
Přehrávač Adobe Flash Player pro prohlížeč Google Chrome 29.0.0.171 a starší verze Windows, macOS, Linux a Chrome OS 
Přehrávač Adobe Flash Player pro prohlížeče Microsoft Edge a Internet Explorer 11 29.0.0.171 a starší verze Windows 10 a 8.1

Chcete-li ověřit verzi aplikace Adobe Flash Player nainstalovanou ve vašem systému, přejděte na stránku o aplikaci Flash Player nebo klikněte pravým tlačítkem na obsah přehrávaný v aplikaci Flash Player a z nabídky vyberte možnost „O aplikaci Adobe (nebo Macromedia) Flash Player“. Pokud používáte více prohlížečů, proveďte tuto kontrolu u každého prohlížeče, který jste v systému nainstalovali.

Řešení

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt Verze Platforma Priorita Dostupnost
Modul runtime Adobe Flash Player pro stolní počítače 30.0.0.113 Windows, macOS 1

Centrum stahování přehrávače Flash Player

Distribuce přehrávače Flash Player

Přehrávač Adobe Flash Player pro prohlížeč Google Chrome 30.0.0.113 Windows, macOS, Linux a Chrome OS  1
Verze Google Chrome
Přehrávač Adobe Flash Player pro prohlížeče Microsoft Edge a Internet Explorer 11 30.0.0.113 Windows 10 a 8.1 1
Informační zpravodaje zabezpečení společnosti Microsoft
Modul runtime Adobe Flash Player pro stolní počítače 30.0.0.113 Linux 3 Centrum stahování přehrávače Flash Player

Poznámka:

  • Společnost Adobe doporučuje uživatelům modulu Runtime Adobe Flash Player pro stolní počítače se systémy Windows, macOS a Linux provést aktualizaci na verzi Adobe Flash Player 30.0.0.113 pomocí funkce pro aktualizaci v rámci produktu [1], případně navštívit Centrum stahování aplikace Adobe Flash Player.
  • Aplikace Adobe Flash Player nainstalovaná s prohlížečem Google Chrome se automaticky aktualizuje na nejnovější verzi prohlížeče Google Chrome, která bude obsahovat aplikaci Adobe Flash Player 30.0.0.113 pro systémy Windows, macOS, Linux a Chrome OS.
  • Aplikace Adobe Flash Player nainstalovaná s prohlížeči Microsoft Edge a Internet Explorer 11 pro systémy Windows 10 a 8.1 se automaticky aktualizuje na nejnovější verzi, která bude obsahovat aplikaci Adobe Flash Player 30.0.0.113.
  • Pomoc s instalací přehrávače Flash Player najdete na stránce Nápověda k přehrávači Flash Player.

[1] Uživatelé, kteří označí možnost „Umožnit společnosti Adobe instalovat aktualizace“ obdrží tuto aktualizaci automaticky. Pokud uživatelé nepovolili instalaci aktualizací od společnosti Adobe, mohou ji nainstalovat prostřednictvím aktualizačního mechanismu příslušného produktu, jakmile k tomu budou vyzváni.

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Číslo CVE
Záměna typu Svévolné spuštění kódu Kritická CVE-2018-4945
Přetečení celého čísla
Neoprávněné zveřejnění informací
Důležitá
CVE-2018-5000
Čtení mimo hranice
Neoprávněné zveřejnění informací
Důležitá
CVE-2018-5001
Přetečení vyrovnávací paměti založené na zásobníku
Svévolné spuštění kódu
Kritická CVE-2018-5002

Poděkování

Společnost Adobe děkuje za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím jednotlivcům a organizacím:

  • Jihui Lu z laboratoře KeenLab společnosti Tencent a willJ z týmu vývojářů softwaru Tencent PC Manager, spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2018-4945)

  • Anonymní hlášení přes iniciativu Zero Day Initiative společnosti Trend Micro (CVE-2018-5000, CVE-2018-5001) 

  • CVE-2018-5002 bylo nezávisle identifikováno a nahlášeno následujícími organizacemi a jednotlivci: Chenming Xu a Jason Jones ze společnosti ICEBRG, Bai Haowen, Zeng Haitao a Huang Chaowen z centra 360 Threat Intelligence Center skupiny 360 Enterprise Security Group a Yang Kang, Hu Jiang, Zhang Qing a Jin Quan ze společnosti Qihoo 360 Core Security (@360CoreSec), Tencent PC Manager (http://guanjia.qq.com/