Boletim de segurança da Adobe

Data de lançamento: 14 de abril de 2015

Última atualização: 11 de agosto de 2015

Identificador de vulnerabilidade: APSB15-06

Prioridade: Consulte a tabela abaixo

Número CVE: CVE-2015-0346, CVE-2015-0347, CVE-2015-0348, CVE-2015-0349, CVE-2015-0350, CVE-2015-0351, CVE-2015-0352, CVE-2015-0353, CVE-2015-0354, CVE-2015-0355, CVE-2015-0356, CVE-2015-0357, CVE-2015-0358, CVE-2015-0359, CVE-2015-0360, CVE-2015-3038, CVE-2015-3039, CVE-2015-3040, CVE-2015-3041, CVE-2015-3042, CVE-2015-3043, CVE-2015-3044 

Plataforma: Todas as plataformas

A Adobe lançou atualizações de segurança para Adobe Flash Player para Windows, Macintosh e Linux.   Essas atualizações corrigem vulnerabilidades que poderiam permitir que um invasor assumisse o controle do sistema afetado.  

A Adobe está ciente de um relato sobre a existência de um exploit do CVE-2015-3043 e recomenda que os usuários atualizem suas instalações de produtos com as versões mais recentes: 

• Os usuários do tempo de execução de desktop Adobe Flash Player para Windows e Macintosh devem atualizar para o Adobe Flash Player 17.0.0.169. 
• Os usuários da Versão Adobe Flash Player Extended Support devem atualizar para o Adobe Flash Player 13.0.0.281. 
• Os usuários do Adobe Flash Player para Linux devem atualizar para o Adobe Flash Player 11.2.202.457. 
• O Adobe Flash Player instalado com o Google Chrome, assim como o Internet Explorer no Windows 8.x, será atualizado automaticamente para a versão 17.0.0.169 quando disponível. 
• Os usuários do tempo de execução de desktop Adobe AIR devem atualizar para a versão 17.0.0.172.
• Os usuários do Adobe AIR SDK e AIR SDK & Compiler devem atualizar para a versão 17.0.0.172.

• Adobe Flash Player 17.0.0.134 e versões anteriores
• Adobe Flash Player 13.0.0.277 e versões 13.x anteriores
• Adobe Flash Player 11.2.202.451 e versões 11.x anteriores
• Tempo de execução de desktop AIR 17.0.0.144 e versões anteriores
• AIR SDK e Compiler 17.0.0.144 e versões anteriores 

Para verificar a versão do Adobe Flash Player instalada em seu sistema, acesse a página Sobre o Adobe Flash Player ou clique com o botão direito no conteúdo em execução no Flash Player e selecione "Sobre o Adobe (ou Macromedia) Flash Player" no menu. Se você usar vários navegadores, faça a verificação em todos os que estiverem instalados no sistema.

Para verificar a versão do Adobe AIR instalada no seu sistema, siga as instruções na TechNote do Adobe AIR.

A Adobe recomenda que os usuários atualizem suas instalações do software seguindo estas instruções: 

• A Adobe recomenda que usuários do Tempo de execução de desktop do Adobe Flash Player para Windows e Macintosh atualizem para a versão 17.0.0.169 ao visitar o Centro de download do Adobe Flash Player ou pelo recurso de atualização do produto quando solicitado. 

• A Adobe recomenda que usuários da Versão de Suporte estendido do Adobe Flash Player atualizem para a versão 13.0.0.281 acessando http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html. 

• A Adobe recomenda que os usuários do Adobe Flash Player para Linux atualizem para o Adobe Flash Player 11.2.202.457 visitando o _brCentro de download do Adobe Flash Player. 

• O Adobe Flash Player instalado com o Google Chrome será atualizado automaticamente para a versão mais recente do Google Chrome: o Adobe Flash Player 17.0.0.169. 

• O Adobe Flash Player instalado com o Internet Explorer para Windows 8.x será atualizado automaticamente para a versão mais recente quando disponível, o que incluirá o Adobe Flash Player 17.0.0.169.

• A Adobe recomenda que os usuários do tempo de execução de desktop do Adobe AIR atualizem para a versão 17.0.0.172 visitando o Centro de Download do Adobe AIR.  

• A Adobe recomenda que os usuários do Adobe AIR SDK atualizem para a versão 17.0.0.172 no Centro de Download do Adobe AIR.  

• A Adobe recomenda que os usuários do Adobe AIR SDK & Compiler atualizem para a versão 17.0.0.172 visitando o Centro de Download do Adobe AIR.

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Essas atualizações corrigem vulnerabilidades críticas no software.

A Adobe lançou atualizações de segurança para Adobe Flash Player para Windows, Macintosh e Linux.   Essas atualizações corrigem vulnerabilidades que poderiam permitir que um invasor assumisse o controle do sistema afetado. 

A Adobe está ciente de um relato sobre a existência de um exploit do CVE-2015-3043 e recomenda que os usuários atualizem suas instalações de produtos com as versões mais recentes: 

• Os usuários do tempo de execução de desktop Adobe Flash Player para Windows e Macintosh devem atualizar para o Adobe Flash Player 17.0.0.169.

• Os usuários da Versão Adobe Flash Player Extended Support devem atualizar para o Adobe Flash Player 13.0.0.281.

• Os usuários do Adobe Flash Player para Linux devem atualizar para o Adobe Flash Player 11.2.202.457.

• O Adobe Flash Player instalado com o Google Chrome, assim como o Internet Explorer no Windows 8.x, será atualizado automaticamente para a versão 17.0.0.169 quando disponível.

• Os usuários do tempo de execução de desktop Adobe AIR devem atualizar para a versão 17.0.0.172.

• Os usuários do Adobe AIR SDK e AIR SDK & Compiler devem atualizar para a versão 17.0.0.172.

Essas atualizações resolvem vulnerabilidades de corrupção de memória que podem levar à execução de código (CVE-2015-0347, CVE-2015-0350, CVE-2015-0352, CVE-2015-0353, CVE-2015-0354, CVE-2015-0355, CVE-2015-0360, CVE-2015-3038, CVE-2015-3041, CVE-2015-3042, CVE-2015-3043). 

Essas atualizações resolvem uma vulnerabilidade de confusão de tipo que pode levar à execução de código (CVE-2015-0356). 

Essas atualizações resolvem uma vulnerabilidade de estouro de buffer que pode levar a uma execução de código (CVE-2015-0348). 

Essas atualizações resolvem vulnerabilidades de uso de memória após liberação que podem levar à execução de código (CVE-2015-0349, CVE-2015-0351, CVE-2015-0358, CVE-2015-3039). 

Essas atualizações resolvem vulnerabilidades de liberação dupla que podem levar à execução de código (CVE-2015-0346, CVE-2015-0359). 

Essas atualizações resolvem vulnerabilidades de vazamento de memória que poderiam ser usadas para contornar ASLR (CVE-2015-0357, CVE-2015-3040).  

Essas atualizações resolvem uma vulnerabilidade de falha de segurança que pode levar à divulgação de informações (CVE-2015-3044). 

A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatar problemas relevantes e por trabalhar com a Adobe para ajudar a proteger nossos clientes:

• Anônimo (CVE-2015-3043)

• bilou, trabalhando com o programa de recompensa da vulnerabilidade Chromium (CVE-2015-0357, CVE-2015-0358, CVE-2015-0359)  

• Chris Evans do Project Zero da Google (CVE-2015-0348, CVE-2015-0352, CVE-2015-0353, CVE-2015-0354, CVE-2015-0355, CVE-2015-0360)

• instruder da Alibaba Security Research Team (CVE-2015-3038)

• Jihui Lu do KeenTeam (@K33nTeam) que trabalha com o Programa de recompensas de vulnerabilidade Chromium (CVE-2015-0351, CVE-2015-3040, CVE-2015-3041)

• Jouko Pynnönen da Klikki Oy (CVE-2015-0346, CVE-2015-3044)

• Michele Spagnuolo da Equipe de segurança da Google e Mark Brand do Project Zero da Google (CVE-2015-3042)

• Natalie Silvanovich que trabalha com o Project Zero da Google (CVE-2015-0356)

• Natalie Silvanovich, que trabalha com o Project Zero da Googlee bilou que trabalha com a Zero Day Initiative da HP (CVE-2015-3039)

• Nicolas Joly que trabalha com a Zero Day Initiative da HP (CVE-2015-0349)

• Steven Vittitoe do Project Zero da Google (CVE-2015-0350)

• s3tm3m que trabalha com a Zero Day Initiative da HP (CVE-2015-0347)

12 de maio de 2015: Adicionadas as versões do Adobe AIR que corrigem os CVEs mencionados neste boletim. 

3 de julho de 2015: Crédito adicionado à bilou que trabalha com a Zero Day Initiative da HP por separadamente relatar o CVE-2015-3039.