Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępne aktualizacje zabezpieczeń dla programu Adobe Flash Player

Data wydania: 28 grudnia 2015 r.

Data ostatniej aktualizacji: 23 czerwca 2016

Identyfikator luki: APSB16-01

Priorytet: Patrz tabela poniżej

Numery CVE: CVE-2015-8459, CVE-2015-8460, CVE-2015-8634, CVE-2015-8635, CVE-2015-8636, CVE-2015-8638, CVE-2015-8639, CVE-2015-8640, CVE-2015-8641, CVE-2015-8642, CVE-2015-8643, CVE-2015-8644, CVE-2015-8645, CVE-2015-8646, CVE-2015-8647, CVE-2015-8648, CVE-2015-8649, CVE-2015-8650, CVE-2015-8651, CVE-2016-0959

Platforma: wszystkie platformy

Podsumowanie

Firma Adobe wydała aktualizacje zabezpieczeń programu Adobe Flash Player.  Te aktualizacje usuwają krytyczne luki w zabezpieczeniach mogące pozwolić osobie atakującej na przejęcie kontroli nad systemem, w którym występują.

Firma Adobe wie o zgłoszeniu świadczącym o tym, że program wykorzystujący lukę CVE-2015-8651 jest używany do przeprowadzenia ograniczonej liczby ukierunkowanych ataków.

Zagrożone wersje

Produkt Zagrożone wersje Platforma
Środowisko desktop Adobe Flash Player 20.0.0.235 i starsze wersje
Windows i Macintosh
Adobe Flash Player Extended Support Release 18.0.0.268 i starsze wersje Windows i Macintosh
Adobe Flash Player dla Google Chrome 20.0.0.228 i starsze wersje Windows, Macintosh, Linux i ChromeOS
Adobe Flash Player dla Microsoft Edge i Internet Explorer 11 20.0.0.228 i starsze wersje Windows 10
Adobe Flash Player dla Internet Explorer 10 i Internet Explorer 11 20.0.0.228 i starsze wersje Windows 8.0 i 8.1
Adobe Flash Player dla systemu Linux 11.2.202.554 i starsze wersje Linux
Środowisko desktop AIR 20.0.0.204 i starsze wersje Windows i Macintosh
Zestaw SDK środowiska AIR 20.0.0.204 i starsze wersje Windows, Mac OS, Android i iOS
Zestaw SDK i kompilator środowiska AIR 20.0.0.204 i starsze wersje Windows, Mac OS, Android i iOS
AIR dla systemu Android 20.0.0.204 i starsze wersje Android
  • Aby sprawdzić numer wersji programu Adobe Flash Player zainstalowanego w systemie, przejdź na stronę informacji o programie Flash Player lub kliknij prawym przyciskiem myszy zawartość Flash w programie Flash Player i wybierz z menu polecenie „Adobe (lub Macromedia) Flash Player — informacje”. W przypadku korzystania z wielu przeglądarek należy sprawdzić wersję w każdej z przeglądarek zainstalowanych w systemie.  
  • Aby sprawdzić numer wersji programu Adobe AIR zainstalowanej na komputerze, należy postępować zgodnie z instrukcjami w notatce technicznej na temat środowiska Adobe AIR.

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:

Produkt Zaktualizowane wersje Platforma   Dostępność
Środowisko desktop Adobe Flash Player
20.0.0.267 Windows i Macintosh
1

Centrum pobierania programu Flash Player

Rozpowszechnianie programu Flash Player

Adobe Flash Player Extended Support Release 18.0.0.324 Windows i Macintosh
1 Przedłużona pomoc techniczna
Adobe Flash Player dla Google Chrome 20.0.0.267 Windows, Macintosh, Linux i ChromeOS    1 Wersje przeglądarki Google Chrome
Adobe Flash Player dla Microsoft Edge i Internet Explorer 11 20.0.0.267 Windows 10 1 Wskazówka dotycząca zabezpieczeń — Microsoft
Adobe Flash Player dla Internet Explorer 10 i Internet Explorer 11 20.0.0.267 Windows 8.0 i 8.1
1 Wskazówka dotycząca zabezpieczeń — Microsoft
Adobe Flash Player dla systemu Linux 11.2.202.559 Linux 3 Centrum pobierania programu Flash Player
Środowisko desktop AIR 20.0.0.233 Windows i Macintosh 3 Centrum pobierania środowiska AIR
Zestaw SDK środowiska AIR 20.0.0.233 Windows, Mac OS, Android i iOS 3 Pobieranie zestawu SDK środowiska AIR
Zestaw SDK i kompilator środowiska AIR 20.0.0.233 Windows, Mac OS, Android i iOS 3 Pobieranie zestawu SDK środowiska AIR
AIR dla systemu Android 20.0.0.233 Android 3 Google Play
  • Firma Adobe zaleca użytkownikom środowiska Desktop Runtime dla systemów Windows i Mac OS X aktualizację programu Adobe Flash Player do wersji 20.0.0.267. Plik aktualizacji można pobrać z Centrum pobierania programu Adobe Flash Player lub za pomocą zawartego w produkcie mechanizmu uaktualnień automatycznych po wyświetleniu monitu [1].
  • Firma Adobe zaleca użytkownikom programu Adobe Flash Player Extended Support Release (wydania z przedłużoną pomocą techniczną) aktualizację do wersji 18.0.0.324 przez odwiedzenie strony http://helpx.adobe.com/pl/flash-player/kb/archived-flash-player-versions.html.
  • Firma Adobe zaleca użytkownikom programu Adobe Flash Player dla systemu Linux aktualizację do programu Adobe Flash Player 11.2.202.559. Plik aktualizacji można pobrać z Centrum pobierania programu Adobe Flash Player.
  • Program Adobe Flash Player zainstalowany w przeglądarce Google Chrome zostanie automatycznie zaktualizowany do najnowszej wersji zawartej w tej przeglądarce, czyli do programu Adobe Flash Player 20.0.0.267 w systemie Windows, na komputerach Mac oraz w systemie Linux i Chrome OS.
  • Program Adobe Flash Player zainstalowany w przeglądarce Microsoft Edge i Internet Explorer dla systemu Windows 10 zostanie zaktualizowany automatycznie do najnowszej wersji dostępnej w tej przeglądarce, czyli do programu Adobe Flash Player 20.0.0.267.
  • Program Adobe Flash Player zainstalowany w przeglądarce Internet Explorer dla systemu Windows 8.x zostanie zaktualizowany automatycznie do najnowszej wersji dostępnej w tej przeglądarce, czyli do programu Adobe Flash Player 20.0.0.267.
  • Firma Adobe zaleca użytkownikom środowiska desktop AIR, zestawu AIR SDK oraz zestawu SDK i kompilatora środowiska AIR aktualizację do wersji 20.0.0.233 za pośrednictwem Centrum pobierania środowiska AIR lub Centrum deweloperów środowiska AIR.
  • Pomoc dotyczącą instalacji programu Flash Player można znaleźć na stronie Pomocy programu Flash Player.

Informacje o luce w zabezpieczeniach

  • Te aktualizacje usuwają lukę w zabezpieczeniach dotyczącą błędnego rozpoznania typu obiektu, która może prowadzić do wykonania kodu (CVE-2015-8644).
  • Te aktualizacje usuwają lukę w zabezpieczeniach związaną z przekroczeniem zakresu liczb całkowitych, która może prowadzić do wykonania kodu (CVE-2015-8651).
  • Te aktualizacje usuwają luki w zabezpieczeniach dotyczące używania zasobów po ich zwolnieniu, które mogą pozwolić na wykonanie kodu (CVE-2016-8634, CVE-2015-8635, CVE-2015-8638, CVE-2015-8639, CVE-2015-8640, CVE-2015-8641, CVE-2015-8642, CVE-2015-8643, CVE-2015-8646, CVE-2015-8647, CVE-2015-8648, CVE-2015-8649, CVE-2015-8650, CVE-2015-0959).
  • Te aktualizacje usuwają luki w zabezpieczeniach polegające na uszkadzaniu zawartości pamięci, które mogą prowadzić do wykonania kodu (CVE-2015-8459, CVE-2015-8460, CVE-2015-8636, CVE-2015-8645).

Podziękowania

  • Natalie Silvanovich z projektu Google Project Zero (CVE-2015-8644)
  • Użytkownik Anonymous pracujący w ramach programu HP Zero Day Initiative (CVE-2015-8638, CVE-2015-8639, CVE-2015-8647, CVE-2015-8648, CVE-2015-8649, CVE-2015-8650)
  • Yuki Chen z zespołu Qihoo 360 Vulcan (CVE-2015-8640, CVE-2015-8641, CVE-2015-8642, CVE-2015-8643, CVE-2015-8646)
  • Jie Zeng z firmy Qihoo 360 (CVE-2015-8460)
  • Ben Hawkes, Mateusz Jurczyk i Natalie Silvanovich z projektu Google Project Zero (CVE-2015-8634, CVE-2015-8635, CVE-2015-8636)
  • Kai Kang z zespołu Xuanwu LAB firmy Tencent (CVE-2015-8459)
  • Jaehun Jeong (@n3sk) z zespołu WINS, WSEC Analysis Team pracujący w ramach programu Chromium Vulnerability Reward Program (CVE-2015-8645)
  • Nicolas Joly z zespołu Microsoft Vulnerability Research (CVE-2016-0959)

Wersje

29 grudnia 2015 r.: Usunięto podziękowanie z sekcji dotyczącej luki CVE-2015-8651. 

23 czerwca 2016 r.: Dodano odnośnik do problemu CVE-2016-0959, który został rozwiązany w tych aktualizacjach, lecz nieumyślnie pominięto go w treści biuletynu. 

Logo Adobe

Zaloguj się na swoje konto