Biuletyn dotyczący zabezpieczeń firmy Adobe

Data wydania: 9 grudnia 2014 r.

Identyfikator luki: APSB14-27

Priorytet: Patrz tabela poniżej

Numer CVE: CVE-2014-0580, CVE-2014-0587, CVE-2014-8443, CVE-2014-9162, CVE-2014-9163, CVE-2014-9164 

Platforma: Wszystkie platformy

Firma Adobe wydała aktualizacje zabezpieczeń dla programu Adobe Flash Player dla systemów Windows, Mac OS i Linux.   Te aktualizacje usuwają luki w zabezpieczeniach mogące pozwolić osobie atakującej na przejęcie kontroli nad systemem, w którym występują.

Firma Adobe wie o zgłoszeniach świadczących o tym, że istnieje program wykorzystujący lukę CVE-2014-9163, i zaleca użytkownikom aktualizację posiadanych instalacji produktów do najnowszych wersji:

• Użytkownicy środowiska desktop Adobe Flash Player dla systemu Windows i Mac OS powinni przeprowadzić aktualizację do wersji Adobe Flash Player 16.0.0.235.
• Użytkownicy programu Adobe Flash Player Extended Support Release (wydania z przedłużoną pomocą techniczną) powinni przeprowadzić aktualizację do wersji Adobe Flash Player 13.0.0.259.
• Użytkownicy programu Adobe Flash Player dla systemu Linux powinni przeprowadzić aktualizację do wersji Adobe Flash Player 11.2.202.425.
• Program Adobe Flash Player zainstalowany przy użyciu przeglądarki Google Chrome, lub Internet Explorer w systemie Windows 8.x, zostanie automatycznie zaktualizowany do najnowszej wersji.

Uwaga: luka CVE-2014-9163 nie dotyczy użytkowników programu zaktualizowanego do wersji 15.0.0.246.

• Adobe Flash Player 15.0.0.242 i wcześniejsze wersje
• Adobe Flash Player 13.0.0.258 i wcześniejsze wersje 13.x
• Adobe Flash Player 11.2.202.424 i wcześniejsze wersje dla systemu Linux

Aby sprawdzić numer wersji programu Adobe Flash Player zainstalowanego w systemie, przejdź na stronę informacji o programie Flash Player lub kliknij prawym przyciskiem myszy zawartość Flash w programie Flash Player i wybierz z menu polecenie „Adobe (lub Macromedia) Flash Player — informacje”. W przypadku korzystania z wielu przeglądarek należy sprawdzić wersję w każdej z przeglądarek zainstalowanych w systemie.

Firma Adobe zaleca użytkownikom aktualizację posiadanych instalacji zgodnie z poniższymi instrukcjami:

• Firma Adobe zaleca użytkownikom środowiska desktop Adobe Flash Player dla systemów Windows i Mac OS aktualizację do programu Adobe Flash Player 16.0.0.235, którą można pobrać z Centrum pobierania programu Adobe Flash Player lub za pomocą zawartego w produkcie mechanizmu uaktualnień automatycznych po wyświetleniu monitu.
• Firma Adobe zaleca użytkownikom programu Adobe Flash Player Extended Support Release (wydania z przedłużoną pomocą techniczną) aktualizację do wersji 13.0.0.259 przez odwiedzenie strony http://helpx.adobe.com/pl/flash-player/kb/archived-flash-player-versions.html.
• Firma Adobe zaleca użytkownikom programu Adobe Flash Player dla systemu Linux aktualizację do programu Adobe Flash Player 11.2.202.425. Plik aktualizacji można pobrać z Centrum pobierania programu Adobe Flash Player.
• Program Adobe Flash Player zainstalowany w przeglądarce Google Chrome zostanie automatycznie zaktualizowany do najnowszej wersji dostępnej w tej przeglądarce, czyli do programu Adobe Flash Player 16.0.0.235.
• Program Adobe Flash Player zainstalowany w przeglądarce Internet Explorer dla systemu Windows 8.x zostanie zaktualizowany automatycznie do najnowszej wersji dostępnej w tej przeglądarce, czyli do programu Adobe Flash Player 16.0.0.235.

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny priorytetu, oraz zaleca użytkownikom aktualizację posiadanych instalacji do najnowszej wersji:

Te aktualizacje usuwają krytyczne luki w zabezpieczeniach oprogramowania.

Firma Adobe wydała aktualizacje zabezpieczeń dla programu Adobe Flash Player dla systemów Windows, Mac OS i Linux.   Te aktualizacje usuwają luki w zabezpieczeniach mogące pozwolić osobie atakującej na przejęcie kontroli nad systemem, w którym występują. Firma Adobe zaleca użytkownikom zaktualizowanie zainstalowanych produktów do najnowszych wersji:

• Użytkownicy środowiska desktop Adobe Flash Player dla systemu Windows i Mac OS powinni przeprowadzić aktualizację do wersji Adobe Flash Player 16.0.0.235.
• Użytkownicy programu Adobe Flash Player Extended Support Release (wydania z przedłużoną pomocą techniczną) powinni przeprowadzić aktualizację do wersji Adobe Flash Player 13.0.0.259.
• Użytkownicy programu Adobe Flash Player dla systemu Linux powinni przeprowadzić aktualizację do wersji Adobe Flash Player 11.2.202.425.
• Program Adobe Flash Player zainstalowany przy użyciu przeglądarki Google Chrome, lub Internet Explorer w systemie Windows 8.x, zostanie automatycznie zaktualizowany do najnowszej wersji.

Te aktualizacje usuwają luki w zabezpieczeniach związane z uszkodzeniem zawartości pamięci, które mogą prowadzić do wykonania kodu (CVE-2014-0587, CVE-2014-9164).

Te aktualizacje usuwają lukę w zabezpieczeniach dotyczącą używania zasobu po zwolnieniu, która może spowodować wykonanie kodu (CVE-2014-8443).

Te aktualizacje usuwają lukę w zabezpieczeniach polegającą na przepełnieniu bufora stosu, która może spowodować wykonanie kodu (CVE-2014-9163).

Te aktualizacje usuwają lukę w zabezpieczeniach, która może spowodować ujawnienie informacji (CVE-2014-9162).

Te aktualizacje usuwają lukę w zabezpieczeniach, która może zostać wykorzystana do obejścia zasady tożsamego pochodzenia (ang. same-origin policy) (CVE-2014-0580). 

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:

• bilou pracujący w ramach programu Zero Day Initiative firmy HP (CVE-2014-9163)
• Fermin J. Serna, Mateusz Jurczyk i Ben Hawkes z zespołu ds. bezpieczeństwa firmy Google (CVE-2014-0587)
• Haifei Li z zespołu McAfee Labs IPS (CVE-2014-8443)
• Tavis Ormandy i Chris Evans z projektu Google Project Zero (CVE-2014-9164)
• Toshiharu Sugiyama z firmy DeNA Co., Ltd. (CVE-2014-0580)
• Wen Guanxing z firmy Venustech ADLAB pracujący w ramach programu Zero Day Initiative firmy HP (CVE-2014-9162)