Data wydania: 13 października 2015 r.
Ostatnia aktualizacja: 7 stycznia 2016 r.
Identyfikator luki: APSB15-25
Priorytet: Patrz tabela poniżej
Numer CVE: CVE-2015-5569, CVE-2015-7625, CVE-2015-7626, CVE-2015-7627, CVE-2015-7628, CVE-2015-7629, CVE-2015-7630, CVE-2015-7631, CVE-2015-7632, CVE-2015-7633, CVE-2015-7635, CVE-2015-7636, CVE-2015-7637, CVE-2015-7638, CVE-2015-7639, CVE-2015-7640, CVE-2015-7641, CVE-2015-7642, CVE-2015-7643, CVE-2015-7644
Platforma: wszystkie platformy
Firma Adobe wydała aktualizacje zabezpieczeń programu Adobe Flash Player. Te aktualizacje usuwają krytyczne luki w zabezpieczeniach mogące pozwolić osobie atakującej na przejęcie kontroli nad systemem, w którym występują.
Produkt | Zagrożone wersje | Platforma |
---|---|---|
Środowisko desktop Adobe Flash Player | 19.0.0.185 i starsze wersje |
Windows i Macintosh |
Adobe Flash Player Extended Support Release | 18.0.0.241 i starsze wersje | Windows i Macintosh |
Adobe Flash Player dla Google Chrome | 19.0.0.185 i starsze wersje | Windows, Macintosh, Linux i ChromeOS |
Adobe Flash Player dla Microsoft Edge i Internet Explorer 11 | 19.0.0.185 i starsze wersje | Windows 10 |
Adobe Flash Player dla Internet Explorer 10 i Internet Explorer 11 | 19.0.0.185 i starsze wersje | Windows 8.0 i 8.1 |
Adobe Flash Player dla systemu Linux | 11.2.202.521 i starsze wersje | Linux |
Środowisko desktop AIR | 19.0.0.190 i starsze wersje | Windows i Macintosh |
Zestaw SDK środowiska AIR | 19.0.0.190 i starsze wersje | Windows, Mac OS, Android i iOS |
Zestaw SDK i kompilator środowiska AIR | 19.0.0.190 i starsze wersje | Windows, Mac OS, Android i iOS |
- Aby sprawdzić numer wersji programu Adobe Flash Player zainstalowanego w systemie, przejdź na stronę informacji o programie Flash Player lub kliknij prawym przyciskiem myszy zawartość Flash w programie Flash Player i wybierz z menu polecenie „Adobe (lub Macromedia) Flash Player — informacje”. W przypadku korzystania z wielu przeglądarek należy sprawdzić wersję w każdej z przeglądarek zainstalowanych w systemie.
- Aby sprawdzić numer wersji programu Adobe AIR zainstalowanej na komputerze, należy postępować zgodnie z instrukcjami w notatce technicznej na temat środowiska Adobe AIR.
Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:
Produkt | Zaktualizowane wersje | Platforma | Dostępność | |
---|---|---|---|---|
Środowisko desktop Adobe Flash Player |
19.0.0.207 | Windows i Macintosh |
1 | Centrum pobierania programu Flash Player Dystrybucja programu Flash Player |
Adobe Flash Player Extended Support Release | 18.0.0.252 | Windows i Macintosh |
1 | Przedłużona pomoc techniczna |
Adobe Flash Player dla Google Chrome | 19.0.0.207 | Windows, Macintosh, Linux i ChromeOS | 1 | Wersje przeglądarki Google Chrome |
Adobe Flash Player dla Microsoft Edge i Internet Explorer 11 | 19.0.0.207 | Windows 10 | 1 | Wskazówka dotycząca zabezpieczeń — Microsoft |
Adobe Flash Player dla Internet Explorer 10 i Internet Explorer 11 | 19.0.0.207 | Windows 8.0 i 8.1 |
1 | Wskazówka dotycząca zabezpieczeń — Microsoft |
Adobe Flash Player dla systemu Linux | 11.2.202.535 | Linux | 3 | Centrum pobierania programu Flash Player |
Środowisko desktop AIR | 19.0.0.213 | Windows i Macintosh | 3 | Centrum pobierania środowiska AIR |
Zestaw SDK środowiska AIR | 19.0.0.213 | Windows, Mac OS, Android i iOS | 3 | Pobieranie zestawu SDK środowiska AIR |
Zestaw SDK i kompilator środowiska AIR | 19.0.0.213 | Windows, Mac OS, Android i iOS | 3 | Pobieranie zestawu SDK środowiska AIR |
- Firma Adobe zaleca użytkownikom środowiska Adobe Flash Player Desktop Runtime dla systemów Windows i Mac OS X aktualizację programu Adobe Flash Player do wersji 19.0.0.207. Plik aktualizacji można pobrać z Centrum pobierania programu Adobe Flash Player lub za pomocą zawartego w produkcie mechanizmu uaktualnień automatycznych po wyświetleniu monitu [1].
- Firma Adobe zaleca użytkownikom programu Adobe Flash Player Extended Support Release (wydania z przedłużoną pomocą techniczną) aktualizację do wersji 18.0.0.252 przez odwiedzenie strony http://helpx.adobe.com/pl/flash-player/kb/archived-flash-player-versions.html.
- Firma Adobe zaleca użytkownikom programu Adobe Flash Player dla systemu Linux aktualizację do programu Adobe Flash Player 11.2.202.535. Plik aktualizacji można pobrać z Centrum pobierania programu Adobe Flash Player.
- Program Adobe Flash Player zainstalowany w przeglądarce Google Chrome zostanie automatycznie zaktualizowany do najnowszej wersji zawartej w tej przeglądarce, czyli do programu Adobe Flash Player 19.0.0.207 w systemie Windows, na komputerach Mac oraz w systemie Linux i Chrome OS.
- Program Adobe Flash Player zainstalowany w przeglądarce Microsoft Edge dla systemu Windows 10 zostanie zaktualizowany automatycznie do najnowszej wersji dostępnej w tej przeglądarce, czyli do programu Adobe Flash Player 19.0.0.207.
- Program Adobe Flash Player zainstalowany w przeglądarce Internet Explorer 10 i 11 dla systemu Windows 8.0 i 8.1 zostanie zaktualizowany automatycznie do najnowszej wersji dostępnej w tej przeglądarce, czyli do programu Adobe Flash Player 19.0.0.207.
- Firma Adobe zaleca użytkownikom środowiska desktop AIR, zestawu AIR SDK oraz zestawu SDK i kompilatora środowiska AIR aktualizację do wersji 19.0.0.213 za pośrednictwem Centrum pobierania środowiska AIR lub Centrum deweloperów środowiska AIR.
- Pomoc dotyczącą instalacji programu Flash Player można znaleźć na stronie Pomocy programu Flash Player.
- Te aktualizacje usuwają lukę w zabezpieczeniach, która może posłużyć do obejścia zasady tego samego źródła, stwarzając zagrożenie ujawnienia informacji (CVE-2015-7628).
- Te aktualizacje zawierają funkcję obrony w głąb w interfejsie API programu Flash broker (CVE-2015-5569).
- Te aktualizacje usuwają luki w zabezpieczeniach dotyczące używania zasobów po ich zwolnieniu, które mogą pozwolić na wykonanie kodu (CVE-2015-7629, CVE-2015-7631, CVE-2015-7635, CVE-2015-7636, CVE-2015-7637, CVE-2015-7638, CVE-2015-7639, CVE-2015-7640, CVE-2015-7641, CVE-2015-7642, CVE-2015-7643, CVE-2015-7644).
- Te aktualizacje usuwają lukę w zabezpieczeniach polegającą na przepełnieniu bufora, która może spowodować wykonanie kodu (CVE-2015-7632).
- Te aktualizacje usuwają luki w zabezpieczeniach powodujące uszkodzenie zawartości pamięci, które mogą pozwolić na wykonanie kodu (CVE-2015-7625, CVE-2015-7626, CVE-2015-7627, CVE-2015-7630, CVE-2015-7633).
Firma Adobe składa podziękowania następującym osobom i organizacjom za zgłoszenie luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:
- Dave „dwizzzle” Weston (CVE -2015-5569)
- Użytkownik bee13oy, pracujący w ramach programu Chromium Vulnerability Reward Program (CVE-2015-7633)
- Użytkownik instruder z centrum informacyjnego Alibaba Security Threat Information Center pracujący w ramach programu Zero Day Intiative firmy HP (CVE-2015-7629)
- Użytkownik Anonymous pracujący w ramach programu HP Zero Day Initiative (CVE-2015-7632)
- Nicolas Joly i Natalie Silvanovich pracujący w ramach Projektu Zero firmy Google (CVE-2015-7644)
- bilou pracujący w ramach programu Zero Day Initiative firmy HP (CVE-2015-7631)
- Użytkownik bilou pracujący w ramach programu Zero Day Initiative firmy HP i Yuki Chen z zespołu Qihoo 360 Vulcan Team (CVE-2015-7643)
- Użytkownik instruder z centrum informacyjnego Alibaba Security Threat Information Center (CVE-2015-7630)
- Jincheng Liu i Lijun Cheng z zespołu Alibaba Security Research Team (CVE-2015-7625, CVE-2015-7626)
- Kai Kang z zespołu Xuanwu LAB firmy Tencent (CVE-2015-7627)
- Yuki Chen z zespołu Qihoo 360 Vulcan (CVE-2015-7635, CVE-2015-7636, CVE-2015-7637, CVE-2015-7638, CVE-2015-7639, CVE-2015-7640, CVE-2015-7641, CVE-2015-7642, CVE-2015-7643)
- Tokuji Akamine (CVE-2015-7628)
14 października 2015 r.: Dodano numery CVE problemów zgłoszonych przez Yuki Chen z zespołu Qihoo 360 Vulcan Team.
5 listopada 2015 r.: Usunięto problem o numerze CVE-2015-7634 z biuletynu. Ten numer CVE został pierwotnie sklasyfikowany jako problem polegający na uszkadzaniu zawartości pamięci, ale został sklasyfikowany ponownie jako niepodatna na złośliwe wykorzystanie awaria wynikająca z wyjątku wskaźnika null.
7 stycznia 2016 r.: Dodano uznanie dla Tokuji Akamine za ujawnienie luki o numerze CVE-2015-7628.