Data wydania: 8 lipca 2015 r.
Ostatnia aktualizacja: 17 lipca 2015
Identyfikator luki: APSB15-16
Priorytet: Patrz tabela poniżej
Numery CVE: CVE-2014-0578, CVE-2015-3097, CVE-2015-3114, CVE-2015-3115, CVE-2015-3116, CVE-2015-3117, CVE-2015-3118, CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-3123, CVE-2015-3124, CVE-2015-3125, CVE-2015-3126, CVE-2015-3127, CVE-2015-3128, CVE-2015-3129, CVE-2015-3130, CVE-2015-3131, CVE-2015-3132, CVE-2015-3133, CVE-2015-3134, CVE-2015-3135, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428, CVE-2015-4429, CVE-2015-4430, CVE-2015-4431, CVE-2015-4432, CVE-2015-4433, CVE-2015-5116, CVE-2015-5117, CVE-2015-5118, CVE-2015-5119, CVE-2015-5124
Platforma: wszystkie platformy
Firma Adobe wydała aktualizacje zabezpieczeń programu Adobe Flash Player dla systemów Windows, Mac OS i Linux. Te aktualizacje usuwają krytyczne luki w zabezpieczeniach, mogące pozwolić osobie atakującej na przejęcie kontroli nad systemem, w którym występują. Firma Adobe wie o zgłoszeniu informującym, że program wykorzystujący lukę CVE-2015-5119 został publicznie udostępniony.
| Produkt | Zagrożone wersje | Platforma |
|---|---|---|
| Środowisko desktop Adobe Flash Player | 18.0.0.194 i starsze wersje |
Windows i Macintosh |
| Adobe Flash Player Extended Support Release | 13.0.0.296 i starsze wersje | Windows i Macintosh |
| Adobe Flash Player dla Google Chrome | 18.0.0.194 i starsze wersje | Windows, Mac OS i Linux |
| Adobe Flash Player dla Internet Explorer 10 i Internet Explorer 11 | 18.0.0.194 i starsze wersje | Windows 8.0 i 8.1 |
| Adobe Flash Player | 11.2.202.468 i starsze wersje | Linux |
| Środowisko desktop AIR | 18.0.0.144 i starsze wersje | Windows i Macintosh |
| Zestaw SDK środowiska AIR | 18.0.0.144 i starsze wersje | Windows, Mac OS, Android i iOS |
| Zestaw SDK i kompilator środowiska AIR | 18.0.0.144 i starsze wersje | Windows, Mac OS, Android i iOS |
- Aby sprawdzić numer wersji programu Adobe Flash Player zainstalowanego w systemie, przejdź na stronę informacji o programie Flash Player lub kliknij prawym przyciskiem myszy zawartość Flash w programie Flash Player i wybierz z menu polecenie „Adobe (lub Macromedia) Flash Player — informacje”. W przypadku korzystania z wielu przeglądarek należy sprawdzić wersję w każdej z przeglądarek zainstalowanych w systemie.
- Aby sprawdzić numer wersji programu Adobe AIR zainstalowanej na komputerze, należy postępować zgodnie z instrukcjami w notatce technicznej na temat środowiska Adobe AIR.
Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:
| Produkt | Zaktualizowane wersje | Platforma | Priorytet |
Dostępność |
|---|---|---|---|---|
| Środowisko desktop Flash Player |
18.0.0.203 | Windows i Macintosh |
1 | Centrum pobierania programu Flash Player Dystrybucja programu Flash Player |
| Flash Player Extended Support Release | 13.0.0.302 | Windows i Macintosh |
1 | Przedłużona pomoc techniczna |
| Flash Player dla systemu Linux | 11.2.202.481 | Linux | 3 | Centrum pobierania programu Flash Player |
| Flash Player dla Google Chrome | 18.0.0.203 | Windows i Macintosh | 1 | Wersje przeglądarki Google Chrome |
| Flash Player dla Google Chrome | 18.0.0.204 | Linux | 3 | Wersje przeglądarki Google Chrome |
| Flash Player dla Internet Explorer 10 i Internet Explorer 11 | 18.0.0.203 | Windows 8.0 i 8.1 |
1 | Wskazówka dotycząca zabezpieczeń — Microsoft |
| Środowisko desktop AIR | 18.0.0.180 | Windows i Macintosh | 3 | Centrum pobierania środowiska AIR |
| Zestaw SDK środowiska AIR | 18.0.0.180 | Windows, Mac OS, Android i iOS | 3 | Pobieranie zestawu SDK środowiska AIR |
| Zestaw SDK i kompilator środowiska AIR | 18.0.0.180 | Windows, Mac OS, Android i iOS | 3 | Pobieranie zestawu SDK środowiska AIR |
- Firma Adobe zaleca użytkownikom środowiska Adobe Flash Player Desktop Runtime dla systemów Windows i Mac OS X aktualizację programu Adobe Flash Player do wersji 18.0.0.203. Plik aktualizacji można pobrać z Centrum pobierania programu Adobe Flash Player lub za pomocą zawartego w produkcie mechanizmu uaktualnień automatycznych po wyświetleniu monitu [1].
- Firma Adobe zaleca użytkownikom programu Adobe Flash Player Extended Support Release (wydania z przedłużoną pomocą techniczną) [2] aktualizację do wersji 13.0.0.302 przez odwiedzenie strony http://helpx.adobe.com/pl/flash-player/kb/archived-flash-player-versions.html.
- Firma Adobe zaleca użytkownikom programu Adobe Flash Player dla systemu Linux aktualizację do programu Adobe Flash Player 11.2.202.481. Plik aktualizacji można pobrać z Centrum pobierania programu Adobe Flash Player.
- Program Adobe Flash Player zainstalowany w przeglądarce Google Chrome zostanie automatycznie zaktualizowany do najnowszej wersji zawartej w tej przeglądarce, czyli do programu Adobe Flash Player 18.0.0.203 w systemie Windows i na komputerach Mac oraz 18.0.0.204 w systemie Linux.
- Program Adobe Flash Player zainstalowany w przeglądarce Internet Explorer dla systemu Windows 8.x zostanie zaktualizowany automatycznie do najnowszej wersji dostępnej w tej przeglądarce, czyli do programu Adobe Flash Player 18.0.0.203.
- Pomoc dotyczącą instalacji programu Flash Player można znaleźć na stronie Pomocy programu Flash Player.
[1] Użytkownicy programu Flash Player 11.2.x i starszych wersji dla systemu Windows oraz programu Flash Player 11.3.x i starszych wersji dla systemu Mac OS X, którzy zaznaczyli opcję „Zezwalaj oprogramowaniu firmy Adobe na instalowanie aktualizacji”, otrzymają tę aktualizację automatycznie. Użytkownicy, którzy nie włączyli opcji „Zezwalaj oprogramowaniu firmy Adobe na instalowanie aktualizacji” mogą zainstalować tę aktualizację za pośrednictwem mechanizmu aktualizacji produktu, gdy zostanie wyświetlony stosowny monit.
[2] Uwaga: Począwszy od 11 sierpnia 2015 r., firma Adobe będzie zmieniać wersję wydania z przedłużoną pomocą techniczną (Extended Support Release) z Flash Player 13 na Flash Player 18 w systemach Mac OS X i Windows. Aby mieć bieżący dostęp do wszystkich dostępnych aktualizacji zabezpieczeń, użytkownicy powinni zainstalować wersję 18 programu Flash Player Extended Support Release lub dokonać aktualizacji do najnowszej dostępnej wersji. Aby uzyskać kompletne informacje, należy zapoznać się z wpisem na blogu pod adresem: http://blogs.adobe.com/flashplayer/2015/05/upcoming-changes-to-flash-players-extended-support-release-2.html
- Te aktualizacje ulepszają mechanizm losowego przydzielania adresów na stercie środowiska Flash na 64-bitowej platformie Windows 7 (CVE-2015-3097).
- Te aktualizacje usuwają luki w zabezpieczeniach polegające na przepełnieniu bufora sterty, które mogą prowadzić do wykonania kodu (CVE-2015-3135, CVE-2015-4432, CVE-2015-5118).
- Te aktualizacje usuwają luki w zabezpieczeniach polegające na uszkadzaniu zawartości pamięci, które mogą prowadzić do wykonania kodu (CVE-2015-3117, CVE-2015-3123, CVE-2015-3130, CVE-2015-3133, CVE-2015-3134, CVE-2015-4431, CVE-2015-5124).
- Te aktualizacje usuwają problemy związane z dereferencją pustego wskaźnika (CVE-2015-3126, CVE-2015-4429).
- Te aktualizacje usuwają lukę w zabezpieczeniach umożliwiającą ominięcie zabezpieczeń, która może prowadzić do ujawnienia informacji (CVE-2015-3114).
- Te aktualizacje usuwają luki w zabezpieczeniach polegające na fałszowaniu tożsamości, które mogą prowadzić do wykonania kodu (CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-4433).
- Te aktualizacje usuwają luki w zabezpieczeniach dotyczące używania zasobów po ich zwolnieniu, które mogą pozwolić na wykonanie kodu (CVE-2015-3118, CVE-2015-3124, CVE-2015-5117, CVE-2015-3127, CVE-2015-3128, CVE-2015-3129, CVE-2015-3131, CVE-2015-3132, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428, CVE-2015-4430, CVE-2015-5119).
- Te aktualizacje usuwają luki w zabezpieczeniach, które mogą posłużyć do obejścia zasady tego samego źródła, stwarzając zagrożenie ujawnienia informacji (CVE-2014-0578, CVE-2015-3115, CVE-2015-3116, CVE-2015-3125, CVE-2015-5116).
Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:
- Ben Hawkes z zespołu Google Project Zero (CVE-2015-4430)
- bilou, pracujący w ramach programu Chromium Vulnerability Reward Program (CVE-2015-3118, CVE-2015-3128)
- Chris Evans z projektu Google Project Zero (CVE-2015-3097, CVE-2015-5118)
- Chris Evans, Ben Hawkes, Mateusz Jurczyk z zespołu Google Project Zero (CVE-2015-4432)
- David Kraftsow (dontsave) współpracujący z Zero Day Initiative HP (CVE-2015-3125)
- Użytkownik instruder z centrum informacyjnego Alibaba Security Threat Information (CVE-2015-3133)
- Kai Kang z Xuanwu Lab firmy Tencent (CVE-2015-4429, CVE-2015-5124)
- Kai Lu z laboratorium FortiGuard firmy Fortinet (CVE-2015-3117)
- Jihui Lu z zespołu KEEN (CVE-2015-3124)
- Malte Batram (CVE-2015-3115, CVE-2015-3116)
- Mateusz Jurczyk z zespołu Google Project Zero (CVE-2015-3123)
- Natalie Silvanovich z zespołu Google Project Zero (CVE-2015-3130, CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-4433, CVE-2015-5117, CVE-2015-3127, CVE-2015-3129, CVE-2015-3131, CVE-2015-3132, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428)
- Soroush Dalili z firmy NCC Group (CVE-2014-3114, CVE-2015-0578)
- willJ z zespołu Tencent PC Manager (CVE-2015-3126)
- Yuki Chen z zespołu Qihoo 360 Vulcan (CVE-2015-3134, CVE-2015-3135, CVE-2015-4431)
- Zręczny Gamoń (CVE-2015-5116)
- Google Project Zero i Morgan Marquis-Boire (CVE-2015-5119)