Dostępne aktualizacje zabezpieczeń dla programu Adobe Flash Player

Data wydania: 8 lipca 2015 r.

Ostatnia aktualizacja: 17 lipca 2015

Identyfikator luki: APSB15-16

Priorytet: Patrz tabela poniżej

Numery CVE: CVE-2014-0578, CVE-2015-3097, CVE-2015-3114, CVE-2015-3115, CVE-2015-3116, CVE-2015-3117, CVE-2015-3118, CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-3123, CVE-2015-3124, CVE-2015-3125, CVE-2015-3126, CVE-2015-3127, CVE-2015-3128, CVE-2015-3129, CVE-2015-3130, CVE-2015-3131, CVE-2015-3132, CVE-2015-3133, CVE-2015-3134, CVE-2015-3135, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428, CVE-2015-4429, CVE-2015-4430, CVE-2015-4431, CVE-2015-4432, CVE-2015-4433, CVE-2015-5116, CVE-2015-5117, CVE-2015-5118, CVE-2015-5119, CVE-2015-5124

Platforma: wszystkie platformy

Podsumowanie

Firma Adobe wydała aktualizacje zabezpieczeń programu Adobe Flash Player dla systemów Windows, Mac OS i Linux. Te aktualizacje usuwają krytyczne luki w zabezpieczeniach, mogące pozwolić osobie atakującej na przejęcie kontroli nad systemem, w którym występują. Firma Adobe wie o zgłoszeniu informującym, że program wykorzystujący lukę CVE-2015-5119 został publicznie udostępniony. 

Zagrożone wersje

Produkt Zagrożone wersje Platforma
Środowisko desktop Adobe Flash Player 18.0.0.194 i starsze wersje
Windows i Macintosh
Adobe Flash Player Extended Support Release 13.0.0.296 i starsze wersje Windows i Macintosh
Adobe Flash Player dla Google Chrome  18.0.0.194 i starsze wersje Windows, Mac OS i Linux
Adobe Flash Player dla Internet Explorer 10 i Internet Explorer 11 18.0.0.194 i starsze wersje Windows 8.0 i 8.1
Adobe Flash Player 11.2.202.468 i starsze wersje Linux
Środowisko desktop AIR 18.0.0.144 i starsze wersje Windows i Macintosh
Zestaw SDK środowiska AIR 18.0.0.144 i starsze wersje Windows, Mac OS, Android i iOS
Zestaw SDK i kompilator środowiska AIR 18.0.0.144 i starsze wersje Windows, Mac OS, Android i iOS
  • Aby sprawdzić numer wersji programu Adobe Flash Player zainstalowanego w systemie, przejdź na stronę informacji o programie Flash Player lub kliknij prawym przyciskiem myszy zawartość Flash w programie Flash Player i wybierz z menu polecenie „Adobe (lub Macromedia) Flash Player — informacje”. W przypadku korzystania z wielu przeglądarek należy sprawdzić wersję w każdej z przeglądarek zainstalowanych w systemie.  
  • Aby sprawdzić numer wersji programu Adobe AIR zainstalowanej na komputerze, należy postępować zgodnie z instrukcjami w notatce technicznej na temat środowiska Adobe AIR

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:

Produkt Zaktualizowane wersje Platforma Priorytet
Dostępność
Środowisko desktop Flash Player
18.0.0.203 Windows i Macintosh
1 Centrum pobierania programu Flash Player  Dystrybucja programu Flash Player
Flash Player Extended Support Release 13.0.0.302 Windows i Macintosh
1 Przedłużona pomoc techniczna
Flash Player dla systemu Linux 11.2.202.481 Linux 3 Centrum pobierania programu Flash Player
Flash Player dla Google Chrome 18.0.0.203  Windows i Macintosh    1 Wersje przeglądarki Google Chrome
Flash Player dla Google Chrome 18.0.0.204 Linux 3 Wersje przeglądarki Google Chrome
Flash Player dla Internet Explorer 10 i Internet Explorer 11 18.0.0.203 Windows 8.0 i 8.1
1 Wskazówka dotycząca zabezpieczeń — Microsoft
Środowisko desktop AIR 18.0.0.180 Windows i Macintosh 3 Centrum pobierania środowiska AIR
Zestaw SDK środowiska AIR 18.0.0.180 Windows, Mac OS, Android i iOS 3 Pobieranie zestawu SDK środowiska AIR
Zestaw SDK i kompilator środowiska AIR 18.0.0.180 Windows, Mac OS, Android i iOS 3 Pobieranie zestawu SDK środowiska AIR
  • Firma Adobe zaleca użytkownikom środowiska Adobe Flash Player Desktop Runtime dla systemów Windows i Mac OS X aktualizację programu Adobe Flash Player do wersji 18.0.0.203. Plik aktualizacji można pobrać z Centrum pobierania programu Adobe Flash Player lub za pomocą zawartego w produkcie mechanizmu uaktualnień automatycznych po wyświetleniu monitu [1].
  • Firma Adobe zaleca użytkownikom programu Adobe Flash Player Extended Support Release (wydania z przedłużoną pomocą techniczną) [2] aktualizację do wersji 13.0.0.302 przez odwiedzenie strony http://helpx.adobe.com/pl/flash-player/kb/archived-flash-player-versions.html.
  • Firma Adobe zaleca użytkownikom programu Adobe Flash Player dla systemu Linux aktualizację do programu Adobe Flash Player 11.2.202.481. Plik aktualizacji można pobrać z Centrum pobierania programu Adobe Flash Player.
  • Program Adobe Flash Player zainstalowany w przeglądarce Google Chrome zostanie automatycznie zaktualizowany do najnowszej wersji zawartej w tej przeglądarce, czyli do programu Adobe Flash Player 18.0.0.203 w systemie Windows i na komputerach Mac oraz 18.0.0.204 w systemie Linux.
  • Program Adobe Flash Player zainstalowany w przeglądarce Internet Explorer dla systemu Windows 8.x zostanie zaktualizowany automatycznie do najnowszej wersji dostępnej w tej przeglądarce, czyli do programu Adobe Flash Player 18.0.0.203.
  • Pomoc dotyczącą instalacji programu Flash Player można znaleźć na stronie Pomocy programu Flash Player.
 
[1] Użytkownicy programu Flash Player 11.2.x i starszych wersji dla systemu Windows oraz programu Flash Player 11.3.x i starszych wersji dla systemu Mac OS X, którzy zaznaczyli opcję „Zezwalaj oprogramowaniu firmy Adobe na instalowanie aktualizacji”, otrzymają tę aktualizację automatycznie. Użytkownicy, którzy nie włączyli opcji „Zezwalaj oprogramowaniu firmy Adobe na instalowanie aktualizacji” mogą zainstalować tę aktualizację za pośrednictwem mechanizmu aktualizacji produktu, gdy zostanie wyświetlony stosowny monit.
 
[2] Uwaga: Począwszy od 11 sierpnia 2015 r., firma Adobe będzie zmieniać wersję wydania z przedłużoną pomocą techniczną (Extended Support Release) z Flash Player 13 na Flash Player 18 w systemach Mac OS X i Windows. Aby mieć bieżący dostęp do wszystkich dostępnych aktualizacji zabezpieczeń, użytkownicy powinni zainstalować wersję 18 programu Flash Player Extended Support Release lub dokonać aktualizacji do najnowszej dostępnej wersji. Aby uzyskać kompletne informacje, należy zapoznać się z wpisem na blogu pod adresem: http://blogs.adobe.com/flashplayer/2015/05/upcoming-changes-to-flash-players-extended-support-release-2.html

Informacje o luce w zabezpieczeniach

  • Te aktualizacje ulepszają mechanizm losowego przydzielania adresów na stercie środowiska Flash na 64-bitowej platformie Windows 7 (CVE-2015-3097).
  • Te aktualizacje usuwają luki w zabezpieczeniach polegające na przepełnieniu bufora sterty, które mogą prowadzić do wykonania kodu (CVE-2015-3135, CVE-2015-4432, CVE-2015-5118).
  • Te aktualizacje usuwają luki w zabezpieczeniach polegające na uszkadzaniu zawartości pamięci, które mogą prowadzić do wykonania kodu (CVE-2015-3117, CVE-2015-3123, CVE-2015-3130, CVE-2015-3133, CVE-2015-3134, CVE-2015-4431, CVE-2015-5124).
  • Te aktualizacje usuwają problemy związane z dereferencją pustego wskaźnika (CVE-2015-3126, CVE-2015-4429).
  • Te aktualizacje usuwają lukę w zabezpieczeniach umożliwiającą ominięcie zabezpieczeń, która może prowadzić do ujawnienia informacji (CVE-2015-3114).
  • Te aktualizacje usuwają luki w zabezpieczeniach polegające na fałszowaniu tożsamości, które mogą prowadzić do wykonania kodu (CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-4433).
  • Te aktualizacje usuwają luki w zabezpieczeniach dotyczące używania zasobów po ich zwolnieniu, które mogą pozwolić na wykonanie kodu (CVE-2015-3118, CVE-2015-3124, CVE-2015-5117, CVE-2015-3127, CVE-2015-3128, CVE-2015-3129, CVE-2015-3131, CVE-2015-3132, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428, CVE-2015-4430, CVE-2015-5119).
  • Te aktualizacje usuwają luki w zabezpieczeniach, które mogą posłużyć do obejścia zasady tego samego źródła, stwarzając zagrożenie ujawnienia informacji (CVE-2014-0578, CVE-2015-3115, CVE-2015-3116, CVE-2015-3125, CVE-2015-5116).

Podziękowania

Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:

  • Ben Hawkes z zespołu Google Project Zero (CVE-2015-4430)
  • bilou, pracujący w ramach programu Chromium Vulnerability Reward Program (CVE-2015-3118, CVE-2015-3128)
  • Chris Evans z projektu Google Project Zero (CVE-2015-3097, CVE-2015-5118)
  • Chris Evans, Ben Hawkes, Mateusz Jurczyk z zespołu Google Project Zero (CVE-2015-4432)
  • David Kraftsow (dontsave) współpracujący z Zero Day Initiative HP (CVE-2015-3125)
  • Użytkownik instruder z centrum informacyjnego Alibaba Security Threat Information (CVE-2015-3133)
  • Kai Kang z Xuanwu Lab firmy Tencent (CVE-2015-4429, CVE-2015-5124)
  • Kai Lu z laboratorium FortiGuard firmy Fortinet (CVE-2015-3117)
  • Jihui Lu z zespołu KEEN (CVE-2015-3124)
  • Malte Batram (CVE-2015-3115, CVE-2015-3116)
  • Mateusz Jurczyk z zespołu Google Project Zero (CVE-2015-3123)
  • Natalie Silvanovich z zespołu Google Project Zero (CVE-2015-3130, CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-4433, CVE-2015-5117, CVE-2015-3127, CVE-2015-3129, CVE-2015-3131, CVE-2015-3132, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428)
  • Soroush Dalili z firmy NCC Group (CVE-2014-3114, CVE-2015-0578)
  • willJ z zespołu Tencent PC Manager (CVE-2015-3126)
  • Yuki Chen z zespołu Qihoo 360 Vulcan (CVE-2015-3134, CVE-2015-3135, CVE-2015-4431)
  • Zręczny Gamoń (CVE-2015-5116)
  • Google Project Zero i Morgan Marquis-Boire (CVE-2015-5119)

Wersje

17 lipca 2015 r.: Zaktualizowano w celu uwzględnienia dodatkowego numeru CVE (CVE-2015-5124), który został rozwiązany w tych aktualizacjach, lecz nieumyślnie pomięto go w treści biuletynu.