Atualizações de segurança disponíveis para o Adobe Flash Player

Data de lançamento: 9 de junho de 2015

Última atualização: 3 de julho de 2015

Identificador de vulnerabilidade: APSB15-11

Prioridade: Consulte a tabela abaixo

Número do CVE: CVE-2015-3096, CVE-2015-3097, CVE-2015-3098, CVE-2015-3099, CVE-2015-3100, CVE-2015-3101, CVE-2015-3102, CVE-2015-3103, CVE-2015-3104, CVE-2015-3105, CVE-2015-3106, CVE-2015-3107, CVE-2015-3108, CVE-2015-5120

Plataforma: Todas as plataformas

Resumo

A Adobe lançou atualizações de segurança para Adobe Flash Player para Windows, Macintosh e Linux.  Essas atualizações corrigem vulnerabilidades que poderiam permitir que um invasor assumisse o controle do sistema afetado.  A Adobe recomenda que os usuários atualizem suas instalações do produto para as versões mais recentes:

  • Os usuários do Tempo de execução de desktop Adobe Flash Player para Windows e Macintosh devem atualizar para o Adobe Flash Player 18.0.0.160.
  • Os usuários da Versão de suporte estendido do Adobe Flash Player para Windows e Macintosh devem atualizar para o Adobe Flash Player 13.0.0.292. *
  • Os usuários do Adobe Flash Player para Linux devem atualizar para o Adobe Flash Player 11.2.202.466.
  • O Adobe Flash Player instalado com o Google Chrome será atualizado automaticamente para a versão 18.0.0.160 (Windows e Linux) e 18.0.0.161 (Macintosh). 
  • O Adobe Flash Player instalado com o Internet Explorer no Windows 8.x será atualizado automaticamente para a versão 18.0.0.160.
  • Os usuários do Tempo de execução de desktop Adobe AIR devem atualizar para a versão 18.0.0.143 (Macintosh) e 18.0.0.144 (Windows).
  • Os usuários do Adobe AIR SDK e AIR SDK & Compiler devem atualizar para a versão 18.0.0.143 (Macintosh) e 18.0.0.144 (Windows). 
  • Os usuários do Adobe AIR para Android devem atualizar para a versão 18.0.0.143. 

Versões de software afetadas

  • Adobe Flash Player 17.0.0.188 e versões anteriores para Windows e Macintosh
  • Versão 13.0.0.289 do Suporte estendido do Adobe Flash Player mais 13.x e versões anteriores para Windows e Macintosh
  • Adobe Flash Player 11.2.202.460 mais e versões 11.x anteriores para Linux
  • Tempo de execução de desktop Adobe AIR 17.0.0.172 e versões anteriores para as plataformas Windows e Macintosh
  • Adobe AIR SDK e SDK & Compiler 17.0.0.172 e versões anteriores para Windows e Macintosh
  • Adobe AIR para Android 17.0.0.144 e versões anteriores

Para verificar a versão do Adobe Flash Player instalada no sistema, acesse a página Sobre o Flash Player ou clique com o botão direito do mouse no conteúdo do Flash Player e selecione “Sobre o Adobe (ou Macromedia) Flash Player” no menu. Se você usar vários navegadores, faça a verificação em todos os que estiverem instalados no sistema.

Para verificar a versão do Adobe AIR instalada no seu sistema, siga as instruções na TechNote do Adobe AIR.

Solução

A Adobe recomenda que os usuários atualizem suas instalações do software seguindo estas instruções:

  • A Adobe recomenda que usuários do Tempo de execução de desktop do Adobe Flash Player para Windows e Macintosh atualizem para a versão 18.0.0.160 acessando o Centro de Download do Adobe Flash Player ou pelo recurso de atualização do produto quando solicitado.
  • A Adobe recomenda que usuários da Versão de Suporte estendido do Adobe Flash Player atualizem para a versão 13.0.0.292 acessando http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html.*
  • A Adobe recomenda que os usuários do Adobe Flash Player para Linux atualizem para o Adobe Flash Player 11.2.202.466 visitando o Centro de Download do Adobe Flash Player.
  • O Adobe Flash Player, instalado com o Google Chrome, será atualizado automaticamente para a versão mais recente do Google Chrome, que incluirá o Adobe Flash Player 18.0.0.160 (Windows e Linux) e 18.0.0.161 (Macintosh).
  • O Adobe Flash Player instalado com o Internet Explorer para Windows 8.x será atualizado automaticamente para a versão mais recente, que inclui o Adobe Flash Player 18.0.0.160.
  • A Adobe recomenda que os usuários do Tempo de execução de desktop Adobe AIR atualizem para a versão 18.0.0.143 (Macintosh) e 18.0.0.144 (Windows) visitando o Centro de download do Adobe AIR.
  • A Adobe recomenda que os usuários do Adobe AIR SDK e do AIR SDK & Compiler atualizem para a versão 18.0.0.143 (Macintosh) e 18.0.0.144 (Windows) visitando o Centro de download do Adobe AIR.
  • A Adobe recomenda que os usuários do Adobe AIR para Android atualizem para a versão 18.0.0.143 fazendo o download da versão mais recente na loja Google Play.

*Observação: A partir de 11 de agosto de 2015, a Adobe atualizará a versão da "Versão de suporte estendido" do Flash Player 13 para o Flash Player 18 para Macintosh e Windows. Para ficarem atualizados com todas as atualizações de segurança disponíveis, os usuários devem instalar a versão 18 da Versão de suporte estendido ou atualizar para a versão mais recente disponível. Para saber os detalhes completos, veja esta publicação do blog.

Classificações de prioridade e severidade

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Produto Versões afetadas Plataforma Classificação de prioridade
Tempo de execução de desktop do Adobe Flash Player 17.0.0.188 e versões anteriores
Windows e Macintosh
1
Versão do Adobe Flash Player Extended Support 13.0.0.289 e versões anteriores Windows e Macintosh
1
Adobe Flash Player para Google Chrome  17.0.0.188 e versões anteriores Windows, Macintosh e Linux
1
Adobe Flash Player para Internet Explorer 10 e Internet Explorer 11 17.0.0.188 e versões anteriores Windows 8.0 e 8.1 1
Adobe Flash Player 11.2.202.460 e versões anteriores Linux 3
Tempo de execução de desktop AIR 17.0.0.172 e versões anteriores Windows e Macintosh  3
AIR SDK 17.0.0.172 e versões anteriores Windows, Macintosh, Android e iOS  3
AIR SDK & Compiler 17.0.0.172 e versões anteriores Windows, Macintosh, Android e iOS  3
AIR para Android 17.0.0.144 e versões anteriores Android 3

Essas atualizações corrigem vulnerabilidades críticas no software.

Detalhes

A Adobe lançou atualizações de segurança para Adobe Flash Player para Windows, Macintosh e Linux.  Essas atualizações corrigem vulnerabilidades que poderiam permitir que um invasor assumisse o controle do sistema afetado.  A Adobe recomenda que os usuários atualizem suas instalações do produto para as versões mais recentes: 

  • Os usuários do Tempo de execução de desktop Adobe Flash Player para Windows e Macintosh devem atualizar para o Adobe Flash Player 18.0.0.160.
  • Os usuários da Versão de suporte estendido do Adobe Flash Player para Windows e Macintosh devem atualizar para o Adobe Flash Player 13.0.0.292.
  • Os usuários do Adobe Flash Player para Linux devem atualizar para o Adobe Flash Player 11.2.202.466. 
  • O Adobe Flash Player instalado com o Google Chrome será atualizado automaticamente para a versão 18.0.0.160 (Windows e Linux) e 18.0.0.161 (Macintosh).  
  • O Adobe Flash Player instalado com o Internet Explorer no Windows 8.x será atualizado automaticamente para a versão 18.0.0.160. 
  • Os usuários do Tempo de execução de desktop Adobe AIR devem atualizar para a versão 18.0.0.143 (Macintosh) e 18.0.0.144 (Windows). 
  • Os usuários do Adobe AIR SDK e AIR SDK & Compiler devem atualizar para a versão 18.0.0.143 (Macintosh) e 18.0.0.144 (Windows).  
  • Os usuários do Adobe AIR para Android devem atualizar para a versão 18.0.0.143.

Essas atualizações resolvem uma vulnerabilidade (CVE-2015-3096) que pode ser explorada para ignorar a correção de CVE-2014-5333. 

Essas atualizações melhoram a aleatoriedade do endereço de memória de Flash heap para a plataforma do Windows 7 de 64 bits (CVE-2015-3097). 

Essas atualizações resolvem vulnerabilidades que podem ser explorados para ignorar a política de mesma origem e para levar à divulgação de informações (CVE-2015-3098, CVE-2015-3099, CVE-2015-3102).  

Essas atualizações resolvem uma vulnerabilidade de estouro de pilha que pode levar à execução de código (CVE-2015-3100).

Essas atualizações resolvem um problema de permissão no corretor Flash para Internet Explorer que pode ser explorado para executar o escalonamento de privilégios do nível de integridade baixo para o médio (CVE-2015-3101).    

Essas atualizações resolvem uma vulnerabilidade de estouro de integridade que pode levar à execução de código (CVE-2015-3104).

Essas atualizações resolvem uma vulnerabilidade de corrupção de memória que pode levar à execução de código (CVE-2015-3105, CVE-2015-5120).

Essas atualizações resolvem vulnerabilidades de uso de memória após liberação que podem levar à execução de código (CVE-2015-3103, CVE-2015-3106, CVE-2015-3107).

Essas atualizações resolvem uma vulnerabilidade de vazamento de memória que poderia ser usada para contornar ASLR (CVE-2015-3108). 

Software afetado   Atualização do Player recomendada Disponibilidade
Tempo de execução de desktop Flash Player
  18.0.0.160

Centro de downloads do Flash Player

Distribuição do Flash Player

Versão do Flash Player Extended Support   13.0.0.292 Suporte Estendido
Flash Player para Linux   11.2.202.466 Centro de downloads do Flash Player
Flash Player para Google Chrome  

18.0.0.160 (Windows e Linux)

18.0.0.161 (Macintosh)

Versões do Google Chrome
Flash Player para Internet Explorer 10 e Internet Explorer 11   18.0.0.160
Conselho de segurança da Microsoft
Tempo de execução de desktop AIR  

18.0.0.143 (Macintosh)

18.0.0.144 (Windows)

Centro de downloads do AIR
AIR SDK  

18.0.0.143 (Macintosh)

18.0.0.144 (Windows)

Download do AIR SDK
AIR SDK & Compiler  

18.0.0.143 (Macintosh)

18.0.0.144 (Windows)

Download do AIR SDK
AIR para Android   18.0.0.143 Google Play

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatar problemas relevantes e por trabalhar com a Adobe para ajudar a proteger nossos clientes:

  • bilou, trabalhando com o Vulnerability Reward Program da Chromium (CVE-2015-3106)
  • Chris Evans do Project Zero do Google (CVE-2015-3097, CVE-2015-3104, CVE-2015-3105, CVE-2015-3108)
  • Haifei Li do McAfee Labs IPS Team (CVE-2015-3100)
  • 李普君 (Pujun Li) / Equipe PKAV (pkav.net) (CVE-2015-3102)
  • Malte Batram (CVE-2015-3098, CVE-2015-3099)
  • Natalie Silvanovich do Project Zero do Google (CVE-2015-3107)
  • Tomas Polesovsky (CVE-2015-3096)
  • Wen Guanxing do Venustech ADLAB (CVE-2015-3103)
  • Linan Hao da Qihoo 360 Vulcan Team (CVE-2015-5120)

Revisões

3 de julho de 2015: Referência adicionada a CVE-2015-5120, solucionada nessas atualizações, mas inadvertidamente omitida no boletim.