Boletim de segurança da Adobe

Data de lançamento: 9 de dezembro de 2014

Identificador de vulnerabilidade: APSB14-27

Prioridade: Consulte a tabela abaixo

Número CVE: CVE-2014-0580, CVE-2014-0587, CVE-2014-8443, CVE-2014-9162, CVE-2014-9163, CVE-2014-9164 

Plataforma: Todas as plataformas

A Adobe lançou atualizações de segurança para Adobe Flash Player para Windows, Macintosh e Linux.   Essas atualizações corrigem vulnerabilidades que poderiam permitir que um invasor assumisse o controle do sistema afetado.

A Adobe está ciente de relatos sobre a existência de um exploit do CVE-2014-9163 e recomenda que os usuários atualizem suas instalações de produtos com as versões mais recentes:

• Os usuários do tempo de execução de desktop Adobe Flash Player para Windows e Macintosh devem atualizar para o Adobe Flash Player 16.0.0.235.
• Os usuários da Versão Adobe Flash Player Extended Support devem atualizar para o Adobe Flash Player 13.0.0.259.
• Os usuários do Adobe Flash Player para Linux devem atualizar para o Adobe Flash Player 11.2.202.425.
• O Adobe Flash Player instalado com o Google Chrome, assim como o Internet Explorer no Windows 8.x, será atualizado automaticamente para a versão atual.

Nota: usuários que atualizaram para a versão 15.0.0.246 não são afetados por CVE-2014-9163.

• Adobe Flash Player 15.0.0.242 e versões anteriores
• Adobe Flash Player 13.0.0.258 e versões 13.x anteriores
• Adobe Flash Player 11.2.202.424 e versões anteriores para Linux

Para verificar a versão do Adobe Flash Player instalada no sistema, acesse a página Sobre o Flash Player ou clique com o botão direito do mouse no conteúdo do Flash Player e selecione “Sobre o Adobe (ou Macromedia) Flash Player” no menu. Se você usar vários navegadores, faça a verificação em todos os que estiverem instalados no sistema.

A Adobe recomenda que os usuários atualizem suas instalações do software seguindo estas instruções:

• A Adobe recomenda que os usuários do tempo de execução de desktop Adobe Flash Player para Windows e Macintosh atualizem para a versão 16.0.0.235, efetuando download no Centro de download do Adobe Flash Player ou pelo recurso de atualizações do produto quando
• A Adobe recomenda que usuários da Versão de Suporte estendido do Adobe Flash Player atualizem para a versão 13.0.0.259 acessando http://helpx.adobe.com/br/flash-player/kb/archived-flash-player-versions.html.
• A Adobe recomenda que os usuários do Adobe Flash Player para Linux atualizem para o Adobe Flash Player 11.2.202.425 visitando o Centro de Download do Adobe Flash Player.
• O Adobe Flash Player instalado com o Google Chrome será atualizado automaticamente para a versão mais recente do Google Chrome: o Adobe Flash Player 16.0.0.235.
• O Adobe Flash Player instalado com o Internet Explorer para Windows 8.x será atualizado automaticamente para a versão mais recente, que inclui o Adobe Flash Player 16.0.0.235.

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Essas atualizações corrigem vulnerabilidades críticas no software.

A Adobe lançou atualizações de segurança para Adobe Flash Player para Windows, Macintosh e Linux.   Essas atualizações corrigem vulnerabilidades que poderiam permitir que um invasor assumisse o controle do sistema afetado. A Adobe recomenda que os usuários atualizem suas instalações do produto para as versões mais recentes:

• Os usuários do tempo de execução de desktop Adobe Flash Player para Windows e Macintosh devem atualizar para o Adobe Flash Player 16.0.0.235.
• Os usuários da Versão Adobe Flash Player Extended Support devem atualizar para o Adobe Flash Player 13.0.0.259.
• Os usuários do Adobe Flash Player para Linux devem atualizar para o Adobe Flash Player 11.2.202.425.
• O Adobe Flash Player instalado com o Google Chrome, assim como o Internet Explorer no Windows 8.x, será atualizado automaticamente para a versão atual.

Essas atualizações resolvem vulnerabilidades de corrupção de memória que podem levar à execução de código (CVE-2014-0587, CVE-2014-9164).

Essas atualizações resolvem uma vulnerabilidade de uso após liberação (use-after-free) que pode levar à execução de código (CVE-2014-8443).

Essas atualizações resolvem uma vulnerabilidade de estouro de buffer baseada em pilha que poderia levar à execução de código (CVE-2014-9163).

Essas atualizações resolvem uma vulnerabilidade de divulgação de informações (CVE-2014-9162).

Essas atualizações resolvem uma vulnerabilidade que poderia ser explorada para contornar a política de mesma origem (CVE-2014-0580). 

A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatar problemas relevantes e por trabalhar com a Adobe para ajudar a proteger nossos clientes:

• bilou que trabalha com a Zero Day Initiative da HP (CVE-2014-9163)
• Fermin J. Serna, Mateusz Jurczyk e Ben Hawkes da Equipe de segurança da Google (CVE-2014-0587)
• Haifei Li da Equipe de IPS da McAfee Labs (CVE-2014-8443)
• Tavis Ormandy e Chris Evans do Project Zero da Google (CVE-2014-9164)
• Toshiharu Sugiyama da DeNA Co., Ltd. (CVE-2014-0580)
• Wen Guanxing da Venustech ADLAB que trabalha com a Zero Day Initiative da HP (CVE-2014-9162)