Boletim de segurança para o Flash Player | APSA18-01
ID do boletim Data de publicação Prioridade
APSA 18-01 1 de fevereiro de 2018 1

Resumo

Há uma vulnerabilidade crítica (CVE -2018-4878) no Adobe Flash Player 28.0.0.137 e em versões anteriores. A exploração bem-sucedida pode permitir que um invasor assuma o controle do sistema afetado.

A Adobe está ciente de um relatório que informa que existe uma exploração de CVE-2018-4878 sendo usada em ataques direcionados e limitados contra usuários do Windows. Esses ataques se aproveitam dos documentos do Office com conteúdo Flash malicioso incorporado distribuído por e-mail.

A Adobe corrige essa vulnerabilidade em uma versão planejadas para a semana a partir de 5 de fevereiro.

Para obter as últimas informações, os usuários podem monitorar blog Adobe Product Security Incident Response Team.

Versões do produto afetadas

Produto Versão Plataforma
Tempo de execução de desktop do Adobe Flash Player 28.0.0.137 e versões anteriores Windows, Macintosh
Adobe Flash Player para Google Chrome 28.0.0.137 e versões anteriores Windows, Macintosh, Linux e Chrome OS 
Adobe Flash Player para Microsoft Edge e Internet Explorer 11 28.0.0.137 e versões anteriores Windows 10 e 8.1
Tempo de execução de desktop do Adobe Flash Player 28.0.0.137 e versões anteriores Linux

Para verificar a versão do Adobe Flash Player instalada em seu sistema, acesse a página Sobre o Adobe Flash Player, ou clique com o botão direito no conteúdo em execução no Flash Player e selecione "Sobre o Adobe (ou Macromedia) Flash Player" no menu. Se você usar vários navegadores, faça a verificação em todos os que estiverem instalados no sistema.

Mitigação

A partir do Flash Player 27, os administradores têm a capacidade de alterar o comportamento de Flash Player ao executar no Internet Explorer no Windows 7 e abaixo solicitando ao usuário antes de reproduzir o conteúdo SWF.  Para obter mais detalhes, consulte o guia de administração.   

Os administradores também podem considerar a implementação do Exibição protegida para o Office.  A Exibição protegida abre um arquivo marcado como potencialmente inseguro no modo somente leitura.  

Detalhes da vulnerabilidade

Categoria da vulnerabilidade Impacto da vulnerabilidade Severidade Número CVE
Uso posterior gratuito Execução de código remota Crítico CVE-2018-4878

Agradecimentos

A Adobe gostaria de agradecer a KrCERT/CC por reportar esse problema e por trabalhar com a Adobe para ajudar a proteger nossos clientes.