Biuletyn dotyczący zabezpieczeń firmy Adobe

Data wydania: 8 kwietnia 2014

Identyfikator luki: APSB14-09

Priorytet: Patrz tabela poniżej

Numer CVE: CVE-2014-0506, CVE-2014-0507, CVE-2014-0508, CVE-2014-0509

Platforma: Wszystkie platformy

Firma Adobe wydała aktualizacje programu Adobe Flash Player 12.0.0.77 i starszych wersji dla systemu Windows i Mac OS oraz programu Adobe Flash Player 11.2.202.346 i starszych wersji dla systemu Linux. Te aktualizacje usuwają luki w zabezpieczeniach mogące pozwolić osobie atakującej na przejęcie kontroli nad systemem, w którym występują. Firma Adobe zaleca użytkownikom zaktualizowanie zainstalowanych produktów do najnowszych wersji:

• Użytkownicy programu Adobe Flash Player 12.0.0.77 i starszych wersji dla systemu Windows i Mac OS powinni przeprowadzić aktualizację do wersji Adobe Flash Player 13.0.0.182.
• Użytkownicy programu Adobe Flash Player 11.2.202.346 i starszych wersji dla systemu Linux powinni przeprowadzić aktualizację do wersji Adobe Flash Player 11.2.202.350.
• Program Adobe Flash Player 12.0.0.77 zainstalowany w przeglądarce Google Chrome zostanie automatycznie zaktualizowany do najnowszej wersji zawartej w tej przeglądarce — czyli do programu Adobe Flash Player 13.0.0.182 dla systemów Windows, Mac OS i Linux.
• Program Adobe Flash Player 12.0.0.77 zainstalowany w przeglądarce Internet Explorer 10 zostanie automatycznie zaktualizowany do najnowszej wersji dostępnej w tej przeglądarce — czyli do programu Adobe Flash Player 13.0.0.182 dla systemu Windows 8.0.
• Program Adobe Flash Player 12.0.0.77 zainstalowany w przeglądarce Internet Explorer 11 zostanie automatycznie zaktualizowany do najnowszej wersji dostępnej w tej przeglądarce — czyli do programu Adobe Flash Player 13.0.0.182 dla systemu Windows 8.1.
• Użytkownicy środowiska Adobe AIR 4.0.0.1628 i starszych wersji dla systemu Android powinni przeprowadzić aktualizację do wersji Adobe AIR 13.0.0.83.
• Użytkownicy zestawu SDK środowiska Adobe AIR 4.0.0.1628 i starszych wersji powinni przeprowadzić aktualizację do zestawu SDK środowiska Adobe AIR 13.0.0.83.
• Użytkownicy zestawu SDK i kompilatora środowiska Adobe AIR 4.0.0.1628 i starszych wersji powinni przeprowadzić aktualizację do zestawu SDK i kompilatora środowiska Adobe AIR 13.0.0.83.

• Program Adobe Flash Player 12.0.0.77 i starsze wersje dla systemów Windows Mac OS
• Program Adobe Flash Player 11.2.202.346 i starsze wersje dla systemu Linux
• Program Adobe AIR 4.0.0.1628 i starsze wersje dla systemu Android
• Zestaw SDK środowiska Adobe AIR 4.0.0.1628 i starszych wersji
• Zestaw SDK i kompilator środowiska Adobe AIR 4.0.0.1628 i starszych wersji

Aby sprawdzić numer wersji programu Adobe Flash Player zainstalowanego w systemie, przejdź na stronę informacji o programie Flash Player lub kliknij prawym przyciskiem myszy zawartość Flash w programie Flash Player i wybierz z menu polecenie „Adobe (lub Macromedia) Flash Player — informacje”. W przypadku korzystania z wielu przeglądarek należy sprawdzić wersję w każdej z przeglądarek zainstalowanych w systemie.

Aby sprawdzić numer wersji programu Adobe Flash Player dla systemu Android, kliknij opcję Ustawienia > Aplikacje > Zarządzaj aplikacjami > Adobe Flash Player x.x.

Aby sprawdzić wersję środowiska Adobe AIR zainstalowanego w systemie, wykonaj instrukcje zawarte w notatce technicznej na temat środowiska Adobe AIR.

Firma Adobe zaleca użytkownikom aktualizację posiadanych instalacji zgodnie z poniższymi instrukcjami:

• Firma Adobe zaleca użytkownikom programu Adobe Flash Player 12.0.0.77 i starszych wersji dla systemów Windows i Mac OS aktualizację do najnowszej wersji 13.0.0.182, którą można pobrać z Centrum pobierania programu Adobe Flash Player lub za pomocą zawartego w produkcie mechanizmu aktualizacji automatycznych (po wyświetleniu monitu).
• Firma Adobe zaleca użytkownikom programu Adobe Flash Player 11.2.202.346 i starszych wersji dla systemu Linux aktualizację do najnowszej wersji Adobe Flash Player 11.2.202.350, którą można pobrać z Centrum pobierania programu Adobe Flash Player.
• Dla użytkowników programu Flash Player 11.7.700.272 i starszych wersji dla systemów Windows i Mac OS, którzy nie mogą przeprowadzić aktualizacji do wersji Flash Player 13.0.0.182, firma Adobe udostępniła aktualizację Flash Player 11.7.700.275*. Można ją pobrać tutaj.
• Program Adobe Flash Player 12.0.0.77 zainstalowany w przeglądarce Google Chrome zostanie automatycznie zaktualizowany do najnowszej wersji zawartej w tej przeglądarce — czyli do programu Adobe Flash Player 13.0.0.182 dla systemów Windows, Mac OS i Linux.
• Program Adobe Flash Player 12.0.0.77 zainstalowany w przeglądarce Internet Explorer 10 zostanie automatycznie zaktualizowany do najnowszej wersji dostępnej w tej przeglądarce — czyli do programu Adobe Flash Player 13.0.0.182 dla systemu Windows 8.0.
• Program Adobe Flash Player 12.0.0.77 zainstalowany w przeglądarce Internet Explorer 11 zostanie automatycznie zaktualizowany do najnowszej wersji dostępnej w tej przeglądarce — czyli do programu Adobe Flash Player 13.0.0.182 dla systemu Windows 8.1.
• Użytkownicy zestawu SDK środowiska Adobe AIR 4.0.0.1628 powinni przeprowadzić aktualizację do zestawu SDK środowiska Adobe AIR 13.0.0.83.
• Użytkownicy zestawu SDK i kompilatora środowiska Adobe AIR 4.0.0.1628 i starszych wersji powinni przeprowadzić aktualizację do zestawu SDK i kompilatora środowiska Adobe AIR 13.0.0.83.
• Użytkownicy środowiska Adobe AIR 4.0.0.1628 i starszych wersji dla systemu Android powinni przeprowadzić aktualizację do wersji Adobe AIR 13.0.0.83. W tym celu należy przejść do witryny Google Play na urządzeniu z systemem Android.

* Od 13 maja 2014 r. wersja Adobe Flash Player 13 dla systemów Mac OS i Windows będzie wersją, dla której świadczona jest rozszerzona pomoc techniczna (wcześniej była to wersja 11.7). Firma Adobe zaleca użytkownikom uaktualnienie oprogramowania do wersji 13, co zagwarantuje dostęp do przyszłych aktualizacji zabezpieczeń. Dalsze informacje można znaleźć w tym wpisie na blogu: http://blogs.adobe.com/flashplayer/2014/03/upcoming-changes-to-flash-players-extended-support-release.html

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny priorytetu, oraz zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:

Te aktualizacje usuwają krytyczne luki w zabezpieczeniach oprogramowania.

Firma Adobe wydała aktualizacje programu Adobe Flash Player 12.0.0.77 i starszych wersji dla systemu Windows i Mac OS oraz programu Adobe Flash Player 11.2.202.346 i starszych wersji dla systemu Linux. Te aktualizacje usuwają luki w zabezpieczeniach mogące pozwolić osobie atakującej na przejęcie kontroli nad systemem, w którym występują. Firma Adobe zaleca użytkownikom zaktualizowanie zainstalowanych produktów do najnowszych wersji:

• Użytkownicy programu Adobe Flash Player 12.0.0.77 i starszych wersji dla systemu Windows i Mac OS powinni przeprowadzić aktualizację do wersji Adobe Flash Player 13.0.0.182.
• Użytkownicy programu Adobe Flash Player 11.2.202.346 i starszych wersji dla systemu Linux powinni przeprowadzić aktualizację do wersji Adobe Flash Player 11.2.202.350.
• Program Adobe Flash Player 12.0.0.77 zainstalowany w przeglądarce Google Chrome zostanie automatycznie zaktualizowany do najnowszej wersji zawartej w tej przeglądarce — czyli do programu Adobe Flash Player 13.0.0.182 dla systemów Windows, Mac OS i Linux.
• Program Adobe Flash Player 12.0.0.77 zainstalowany w przeglądarce Internet Explorer 10 zostanie automatycznie zaktualizowany do najnowszej wersji dostępnej w tej przeglądarce — czyli do programu Adobe Flash Player 13.0.0.182 dla systemu Windows 8.0.
• Program Adobe Flash Player 12.0.0.77 zainstalowany w przeglądarce Internet Explorer 11 zostanie automatycznie zaktualizowany do najnowszej wersji dostępnej w tej przeglądarce — czyli do programu Adobe Flash Player 13.0.0.182 dla systemu Windows 8.1.
• Użytkownicy środowiska Adobe AIR 4.0.0.1628 i starszych wersji dla systemu Android powinni przeprowadzić aktualizację do wersji Adobe AIR 13.0.0.83.
• Użytkownicy zestawu SDK środowiska Adobe AIR 4.0.0.1628 i starszych wersji powinni przeprowadzić aktualizację do zestawu SDK środowiska Adobe AIR 13.0.0.83.
• Użytkownicy zestawu SDK i kompilatora środowiska Adobe AIR 4.0.0.1628 i starszych wersji powinni przeprowadzić aktualizację do zestawu SDK i kompilatora środowiska Adobe AIR 13.0.0.83.

Te aktualizacje usuwają lukę w zabezpieczeniach dotyczącą używania zasobu po zwolnieniu, która może spowodować wykonanie dowolnego kodu (CVE-2014-0506).

Te aktualizacje usuwają lukę w zabezpieczeniach polegającą na przepełnieniu bufora, która może spowodować wykonanie dowolnego kodu (CVE-2014-0507).

Te aktualizacje usuwają lukę w zabezpieczeniach umożliwiającą ominięcie zabezpieczeń, która może prowadzić do ujawnienia informacji (CVE-2014-0508).

Te aktualizacje usuwają lukę w zabezpieczeniach umożliwiającą ataki XSS (Cross-Site-Scripting) (CVE-2014-0509).

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:

• Zespół VUPEN pracujący w ramach programu Zero Day Initiative firmy HP (CVE-2014-0506)
• Anonimowe zgłoszenie w ramach programu Zero Day Initiative firmy HP (CVE-2014-0507)
• Bas Venis (CVE-2014-0508)
• Masato Kinugawa (CVE-2014-0509)