Atualizações de segurança disponíveis para o Adobe Flash Player

Data de lançamento: 8 de dezembro de 2015

Última atualização: 3 de junho de 2016

Identificador de vulnerabilidade: APSB15-32

Prioridade: Consulte a tabela abaixo

Número CVE: CVE -2015-8045, CVE -2015-8047, CVE -2015-8048, CVE -2015-8049, CVE -2015-8050, CVE -2015-8418, CVE -2015-8454, CVE -2015-8455, CVE -2015-8055, CVE -2015-8056, CVE -2015-8057, CVE -2015-8058, CVE -2015-8059, CVE -2015-8060, CVE -2015-8061, CVE -2015-8062, CVE -2015-8063, CVE -2015-8064, CVE -2015-8065, CVE -2015-8066, CVE -2015-8067, CVE -2015-8068, CVE -2015-8069, CVE -2015-8070, CVE -2015-8071, CVE -2015-8401, CVE -2015-8402, CVE -2015-8403, CVE -2015-8404, CVE -2015-8405, CVE -2015-8406, CVE -2015-8407, CVE -2015-8408, CVE -2015-8409, CVE -2015-8410, CVE -2015-8411, CVE -2015-8412, CVE -2015-8413, CVE -2015-8414, CVE -2015-8415, CVE -2015-8416, CVE -2015-8417, CVE -2015-8419, CVE -2015-8420, CVE -2015-8421, CVE -2015-8422, CVE -2015-8423, CVE -2015-8424, CVE -2015-8425, CVE -2015-8426, CVE -2015-8427, CVE -2015-8428, CVE -2015-8429, CVE -2015-8430, CVE -2015-8431, CVE -2015-8432, CVE -2015-8433, CVE -2015-8434, CVE -2015-8435, CVE -2015-8436, CVE -2015-8437, CVE -2015-8438, CVE -2015-8439, CVE -2015-8440, CVE -2015-8441, CVE -2015-8442, CVE -2015-8443, CVE -2015-8444, CVE -2015-8445, CVE -2015-8446, CVE -2015-8447, CVE -2015-8448, CVE -2015-8449, CVE -2015-8450, CVE -2015-8451, CVE -2015-8452, CVE -2015-8453, CVE-2015-8456, CVE-2015-8457, CVE-2015-8652, CVE-2015-8653, CVE-2015-8654, CVE-2015-8655, CVE-2015-8656, CVE-2015-8657, CVE-2015-8658, CVE-2015-8820, CVE-2015-8821, CVE-2015-8822, CVE-2015-8823

Plataforma: todas as plataformas

Resumo

A Adobe lançou atualizações de segurança para o Adobe Flash Player. Essas atualizações abordam fragilidades críticas que podem potencialmente permitir que um invasor assuma o controle do sistema afetado.

Versões afetadas

Produto Versões afetadas Plataforma
Tempo de execução de desktop do Adobe Flash Player 19.0.0.245 e versões anteriores
Windows e Macintosh
Versão do Adobe Flash Player Extended Support 18.0.0.261 e versões anteriores Windows e Macintosh
Adobe Flash Player para Google Chrome 19.0.0.245 e versões anteriores Windows, Macintosh, Linux e ChromeOS
Adobe Flash Player para Microsoft Edge e Internet Explorer 11 19.0.0.245 e versões anteriores Windows 10
Adobe Flash Player para Internet Explorer 10 e 11 19.0.0.245 e versões anteriores Windows 8.0 e 8.1
Adobe Flash Player para Linux 11.2.202.548 e versões anteriores Linux
Tempo de execução de desktop AIR 19.0.0.241 e versões anteriores Windows e Macintosh
AIR SDK 19.0.0.241 e versões anteriores Windows, Macintosh, Android e iOS
AIR SDK & Compiler 19.0.0.241 e versões anteriores Windows, Macintosh, Android e iOS
AIR para Android 19.0.0.241 e versões anteriores Android
  • Para verificar a versão do Adobe Flash Player instalada no sistema, acesse a página Sobre o Flash Player ou clique com o botão direito do mouse no conteúdo do Flash Player e selecione “Sobre o Adobe (ou Macromedia) Flash Player” no menu. Se você usar vários navegadores, faça a verificação em todos os que estiverem instalados no sistema.  
  • Para verificar a versão do Adobe AIR instalada no seu sistema, siga as instruções na TechNote do Adobe AIR.

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que usuários atualizem para a versão mais recente:

Produto Versões atualizadas Plataforma Disponibilidade
Tempo de execução do Adobe Flash Player Desktop (suporte para Internet Explorer)
20.0.0.228 Windows e Macintosh
1

Centro de downloads do Flash Player

Distribuição do Flash Player

Tempo de execução de Adobe Flash Player Desktop (suporte para Firefox e o safari) 20.0.0.235 Windows e Macintosh 1

Centro de downloads do Flash Player  

Distribuição do Flash Player

Versão do Adobe Flash Player Extended Support 18.0.0.268 Windows e Macintosh
1 Suporte Estendido
Adobe Flash Player para Google Chrome 20.0.0.228 Windows, Macintosh, Linux e ChromeOS    1 Versões do Google Chrome
Adobe Flash Player para Microsoft Edge e Internet Explorer 11 20.0.0.228 Windows 10 1 Conselho de segurança da Microsoft
Adobe Flash Player para Internet Explorer 10 e 11 20.0.0.228 Windows 8.0 e 8.1
1 Conselho de segurança da Microsoft
Adobe Flash Player para Linux 11.2.202.554 Linux 3 Centro de downloads do Flash Player
Tempo de execução de desktop AIR 20.0.0.204 Windows e Macintosh 3 Centro de downloads do AIR
AIR SDK 20.0.0.204 Windows, Macintosh, Android e iOS 3 Download do AIR SDK
AIR SDK & Compiler 20.0.0.204 Windows, Macintosh, Android e iOS 3 Download do AIR SDK
AIR para Android 20.0.0.204 Android 3 Google Play
  • A Adobe recomenda que usuários do Tempo de execução de desktop Abobe Flash Player para Windows e Macintosh atualizem para a versão 20.0.0.228 (supporte para Internet Explorer) e 20.0.0.235 (suporte para Firefox e Safari) acessando o Centro de Download do Adobe Flash Player ou pelo recurso de atualização do produto quando solicitado [1].
  • A Adobe recomenda que usuários da Versão de Suporte estendido do Adobe Flash Player atualizem para a versão 18.0.0.268 acessando http://helpx.adobe.com/br/flash-player/kb/archived-flash-player-versions.html.
  • A Adobe recomenda que os usuários do Adobe Flash Player para Linux atualizem para o Adobe Flash Player 11.2.202.554 visitando o Centro de Download do Adobe Flash Player.
  • O Adobe Flash Player, instalado com o Google Chrome, será atualizado automaticamente para a versão mais recente do Google Chrome, que incluirá Adobe Flash Player 20.0.0.228 para Windows, Macintosh, Linux e Chrome OS.
  • O Adobe Flash Player instalado com o Microsoft Edge e Internet Explorer para Windows 10 será atualizado automaticamente para a versão mais recente, que incluirá o Adobe Flash Player 20.0.0.228. 
  • O Adobe Flash Player instalado com o Internet Explorer para Windows 8.x será atualizado automaticamente para a versão mais recente, que inclui o Adobe Flash Player 20.0.0.228.
  • A Adobe recomenda que os usuários do tempo de execução de desktop AIR, o AIR SDK e AIR SDK & Compiler atualizem para a versão 20.0.0.204 acessando o Centro de Download do AIR ou o Centro do Desenvolvedor do AIR
  • Visite a página Ajuda do Flash Player para obter assistência com a instalação do Flash Player.
 
[1] Os usuários do Flash Player 11.2.x ou posterior para Windows, ou do Flash Player 11.3.x ou posterior para Macintosh, que tenham selecionado a opção “Permitir que a Adobe instale atualizações” receberão a atualização automaticamente. Os usuários que não têm a opção “Permitir que a Adobe instale atualizações” habilitada podem instalar a atualização, quando solicitados, usando o mecanismo de atualização do produto.

Detalhes da vulnerabilidade

  • Essas atualizações resolvem vulnerabilidades de estouro de buffer que podem levar à execução de código (-8438, CVE-2015-, CVE-2015-8446).
  • Essas atualizações resolvem vulnerabilidades de corrupção de memória que podem levar à execução de código (CVE-2015-8444, CVE-2015-8443, CVE-2015-8417, CVE-2015-8416, CVE-2015-8451, CVE-2015-8047, CVE-2015-8455, CVE-2015-8045, CVE-2015-8418, CVE-2015-8060, CVE-2015-8419, CVE-2015-8408, CVE-2015-8652, CVE-2015-8654, CVE-2015-8656, CVE-2015-8657, CVE-2015-8658, CVE-2015-8820).
  • Essas atualizações resolvem vulnerabilidades de falha de segurança (CVE -2015-8453, CVE -2015-8440, CVE -2015-8409).
  • Essas atualizações resolvem uma vulnerabilidade de sobrecarga de pilha que poderia levar a uma execução de código (CVE-2015-8407, CVE-2015-8457).
  • Essas atualizações resolvem uma vulnerabilidade de confusão de tipo que poderia levar à execução de código (CVE-2015-8439, CVE-2015-8456).
  • Essas atualizações resolvem uma vulnerabilidade de estouro de integridade que pode levar à execução de código (CVE-2015-8445).
  • Essas atualizações resolvem uma vulnerabilidade de estouro de buffer que pode levar à execução de código (CVE-2015-8415)
  • Essas atualizações resolvem uma vulnerabilidade de uso após período gratuito que pode levar à execução do código (CVE-2015-8050, CVE-2015-8049, CVE-2015-8437, CVE-2015-8450, CVE-2015-8449, CVE-2015-8448, CVE-2015-8436, CVE-2015-8452, CVE-2015-8048, CVE-2015-8413, CVE-2015-8412, CVE-2015-8410, CVE-2015-8411, CVE-2015-8424, CVE-2015-8422, CVE-2015-8420, CVE-2015-8421, CVE-2015-8423, CVE-2015-8425, CVE-2015-8433, CVE-2015-8432, CVE-2015-8431, CVE-2015-8426, CVE-2015-8430, CVE-2015-8427, CVE-2015-8428, CVE-2015-8429, CVE-2015-8434, CVE-2015-8435, CVE-2015-8414, CVE-2015-8454, CVE-2015-8059, CVE-2015-8058, CVE-2015-8055, CVE-2015-8057, CVE-2015-8056, CVE-2015-8061, CVE-2015-8067, CVE-2015-8066, CVE-2015-8062, CVE-2015-8068, CVE-2015-8064, CVE-2015-8065, CVE-2015-8063, CVE-2015-8405, CVE-2015-8404, CVE-2015-8402, CVE-2015-8403, CVE-2015-8071, CVE-2015-8401, CVE-2015-8406, CVE-2015-8069, CVE-2015-8070, CVE-2015-8441, CVE-2015-8442, CVE-2015-8447, CVE-2015-8653, CVE-2015-8655, CVE-2015-8822, CVE-2015-8821, CVE-2015-8823).

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatarem problemas relevantes e por trabalharem com a Adobe para ajudar a proteger nossos clientes:

  • AbdulAziz Hariri, da Zero Day Initiative da HPE (CVE-2015-8652, CVE-2015-8653, CVE-2015-8654, CVE-2015-8656, CVE-2015-8657, CVE-2015-8822, CVE-2015-8658, CVE-2015-8820, CVE-2015-8821)
  • Anônimo, que trabalha na Zero Day Initiative da HPE (CVE-2015-8050, CVE-2015-8049, CVE-2015-8437, CVE-2015-8438, CVE-2015-8446, CVE-2015-8655, CVE-2015-8823)
  • bee13oy, trabalhando com o Programa de recompensas de vulnerabilidade Chromium (CVE -2015-8418)
  • Bilou trabalhando com a Zero Day Initiative HPE (CVE-2015-8450, CVE-2015-8449, CVE-2015-8448, CVE-2015-8442, CVE-2015-8447, CVE-2015-8445, CVE-2015-8439)
  • Furugawa Nagisa que trabalha com Zero Day Initiative da HPE (CVE -2015-8436)
  • Hui Gao da Palo Alto Networks (CVE -2015-8443, CVE -2015-8444)
  • desconhecido do Centro de Informações de Ameaça de Segurança Alibaba (CVE -2015-8060, CVE -2015-8408, CVE -2015-8419)
  • Jie Zeng da Qihoo 360 (-8415, CVE-2015-, CVE-2015-8417)
  • Jie Zeng, da Qihoo 360, e Anônimo, que trabalha na Zero Day Initiative da HPE (CVE-2015-8416)
  • LMX da Qihoo 360 (CVE-2015-8451, CVE-2015-8452)
  • Natalie Silvanovich, do Google Project Zero (CVE-2015-8048, CVE-2015-8413, CVE-2015-8412, CVE-2015-8410, CVE-2015-8411, CVE-2015-8424, CVE-2015-8422, CVE-2015-8420, CVE-2015-8421, CVE-2015-8423, CVE-2015-8425, CVE-2015-8433, CVE-2015-8432, CVE-2015-8431, CVE-2015-8426, CVE-2015-8430, CVE-2015-8427, CVE-2015-8428, CVE-2015-8429, CVE-2015-8434, CVE-2015-8456)
  • Nicolas Joly da Microsoft Security (CVE -2015-8414, CVE -2015-8435)
  • s3tm3m, que trabalha com a Zero Day Initiative da HP (CVE-2015-8457)
  • VUPEN trabalhando com a Zero Day Initiative da HPE (CVE-2015-8453)
  • willJ da Tencent PC Manager (CVE-2015-8407)
  • Yuki Chen da Qihoo 360 Vulcan Team (CVE-2015-8454, CVE-2015-8059, CVE-2015-8058, CVE-2015-8055, CVE-2015-8057, CVE-2015-8056, CVE-2015-8061, CVE-2015-8067, CVE-2015-8066, CVE-2015-8062, CVE-2015-8068, CVE-2015-8064, CVE-2015-8065, CVE-2015-8063, CVE-2015-8405, CVE-2015-8404, CVE-2015-8402, CVE-2015-8403, CVE-2015-8071, CVE-2015-8401, CVE-2015-8406, CVE-2015-8069, CVE-2015-8070, CVE-2015-8440, CVE-2015-8409, CVE-2015-8047, CVE-2015-8455, CVE-2015-8045, CVE-2015-8441)

Revisões

8 de dezembro de 2015: CVE -2015-8051, CVE -2015-8052 e CVE -2015-8053 removidos (todos foram atribuídos anteriormente). CVE -2015-8418 adicionado (substituição para CVE -2015-8051), CVE -2015-8454 (substituição para CVE -2015-8052) e o CVE -2015-8455 (substituição para CVE -2015-8053). Também removeu o CVE -2015-8054, que foi incluído erroneamente no boletim original. 

9 de dezembro de 2015: adicionados CVE-2015-8456 e CVE-2015-8457, que haviam sido omitidos inadvertidamente do boletim original. 

2 de março de 2016: adicionados os seguintes CVEs, que haviam sido omitidos inadvertidamente da versão original: CVE-2015-8652, CVE-2015-8653, CVE-2015-8654, CVE-2015-8655, CVE-2015-8656, CVE-2015-8657, CVE-2015-8822, CVE-2015-8658, CVE-2015-8820, CVE-2015-8821.  

15 de abril de 2016: adicionado CVE-2015-8823, que havia sido omitido inadvertidamente da versão original. 

3 de junho de 2016: adicionado crédito a Anônimo, que trabalha na Zero Day Initiative da HPE, para CVE-2015-8416. Esse CVE também foi relatado independentemente por Jie Zeng, da Qihoo 360.