Atualizações de segurança disponíveis para o Adobe Flash Player

Data da liberação: 12 de julho de 2016

Última atualização: 3 de outubro de 2016

Identificador de vulnerabilidade: APSB16-25

Prioridade: Consulte a tabela abaixo

Números CVE: CVE-2016-4172, CVE-2016-4173, CVE-2016-4174, CVE-2016-4175, CVE-2016-4176, CVE-2016-4177, CVE-2016-4178, CVE-2016-4179, CVE-2016-4180, CVE-2016-4181, CVE-2016-4182, CVE-2016-4183, CVE-2016-4184, CVE-2016-4185, CVE-2016-4186, CVE-2016-4187, CVE-2016-4188, CVE-2016-4189, CVE-2016-4190, CVE-2016-4217, CVE-2016-4218, CVE-2016-4219, CVE-2016-4220, CVE-2016-4221, CVE-2016-4222, CVE-2016-4223, CVE-2016-4224, CVE-2016-4225, CVE-2016-4226, CVE-2016-4227, CVE-2016-4228, CVE-2016-4229, CVE-2016-4230, CVE-2016-4231, CVE-2016-4232, CVE-2016-4233, CVE-2016-4234, CVE-2016-4235, CVE-2016-4236, CVE-2016-4237, CVE-2016-4238, CVE-2016-4239, CVE-2016-4240, CVE-2016-4241, CVE-2016-4242, CVE-2016-4243, CVE-2016-4244, CVE-2016-4245, CVE-2016-4246, CVE-2016-4247, CVE-2016-4248, CVE-2016-4249, CVE-2016-7020

Plataforma: Windows, Macintosh, Linux e ChromeOS

Resumo

A Adobe lançou atualizações de segurança do Adobe Flash Player para Windows, Macintosh, Linux e ChromeOS.  Essas atualizações abordam vulnerabilidades críticas que podem potencialmente permitir que um invasor assuma o controle do sistema afetado.  

Versões afetadas

Produto Versões afetadas Plataforma
Tempo de execução de desktop do Adobe Flash Player 22.0.0.192 e versões anteriores
Windows e Macintosh
Versão do Adobe Flash Player Extended Support 18.0.0.360 e versões anteriores Windows e Macintosh
Adobe Flash Player para Google Chrome 22.0.0.192 e versões anteriores Windows, Macintosh, Linux e ChromeOS
Adobe Flash Player para Microsoft Edge e Internet Explorer 11 22.0.0.192 e versões anteriores Windows 10 e 8.1
Adobe Flash Player para Linux 11.2.202.626 e versões anteriores Linux
  • Para verificar a versão do Adobe Flash Player instalada no sistema, acesse a página Sobre o Flash Player ou clique com o botão direito do mouse no conteúdo do Flash Player e selecione “Sobre o Adobe (ou Macromedia) Flash Player” no menu. Se você usar vários navegadores, faça a verificação em todos os que estiverem instalados no sistema.  

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que usuários atualizem para a versão mais recente:

Produto Versões atualizadas Plataforma Classificação de prioridade Disponibilidade
Tempo de execução de desktop do Adobe Flash Player
22.0.0.209 Windows e Macintosh
1

Centro de downloads do Flash Player

Distribuição do Flash Player

Versão do Adobe Flash Player Extended Support 18.0.0.366 Windows e Macintosh
1 Suporte Estendido
Adobe Flash Player para Google Chrome 22.0.0.209 Windows, Macintosh, Linux e ChromeOS   1 Versões do Google Chrome
Adobe Flash Player para Microsoft Edge e Internet Explorer 11 22.0.0.209 Windows 10 e 8.1 1 Conselho de segurança da Microsoft
Adobe Flash Player para Linux 11.2.202.632 Linux 3 Centro de downloads do Flash Player
  • A Adobe recomenda que os usuários do Adobe Flash Player Desktop Runtime para Windows e Macintosh atualizem para a versão 22.0.0.209 através do mecanismo de atualização no produto quando solicitado [1] ou através do Adobe Flash Player Download Center.
  • A Adobe recomenda que usuários da Versão de Suporte estendido do Adobe Flash Player atualizem para a versão 18.0.0.366 acessando http://helpx.adobe.com/br/flash-player/kb/archived-flash-player-versions.html.
  • A Adobe recomenda que os usuários do Adobe Flash Player para Linux atualizem para o Adobe Flash Player 11.2.202.632 visitando o Centro de Download do Adobe Flash Player.
  • O Adobe Flash Player, instalado com o Google Chrome, será atualizado automaticamente para a versão mais recente do Google Chrome, que incluirá Adobe Flash Player 22.0.0.209 para Windows, Macintosh, Linux e Chrome OS.
  • O Adobe Flash Player instalado com o Microsoft Edge e Internet Explorer para Windows 10 e 8.1 será atualizado automaticamente para a versão mais recente, que incluirá o Adobe Flash Player 22.0.0.209. 
  • Visite a página Ajuda do Flash Player para obter assistência com a instalação do Flash Player.

[1] Os usuários do Flash Player 11.2.x ou posterior para Windows, ou do Flash Player 11.3.x ou posterior para Macintosh, que tenham selecionado a opção “Permitir que a Adobe instale atualizações” receberão a atualização automaticamente. Os usuários que não têm a opção “Permitir que a Adobe instale atualizações” habilitada podem instalar a atualização, quando solicitados, usando o mecanismo de atualização do produto.

Detalhes da vulnerabilidade

  • Essas atualizações resolvem uma condição de corrida que pode levar à divulgação de informações (CVE-2016-4247).
  • Essas atualizações resolvem vulnerabilidades de confusão de tipo que poderiam levar à execução do código (CVE-2016-4223, CVE-2016-4224, CVE-2016-4225).
  • Essas atualizações resolvem vulnerabilidades de uso após liberação que poderiam levar à execução de código (CVE-2016-4173, CVE-2016-4174, CVE-2016-4222, CVE-2016-4226, CVE-2016-4227, CVE-2016-4228, CVE-2016-4229, CVE-2016-4230, CVE-2016-4231, CVE-2016-4248, CVE-2016-7020).
  • Essas atualizações resolvem uma vulnerabilidade de sobrecarga de buffer de heap que pode levar a uma execução de código (CVE-2016-4249).
  • Essas atualizações resolvem vulnerabilidades de corrupção da memória que podem levar à execução do código (CVE-2016-4172, CVE-2016-4175, CVE-2016-4179, CVE-2016-4180, CVE-2016-4181, CVE-2016-4182, CVE-2016-4183, CVE-2016-4184, CVE-2016-4185, CVE-2016-4186, CVE-2016-4187, CVE-2016-4188, CVE-2016-4189, CVE-2016-4190, CVE-2016-4217, CVE-2016-4218, CVE-2016-4219, CVE-2016-4220, CVE-2016-4221, CVE-2016-4233, CVE-2016-4234, CVE-2016-4235, CVE-2016-4236, CVE-2016-4237, CVE-2016-4238, CVE-2016-4239, CVE-2016-4240, CVE-2016-4241, CVE-2016-4242, CVE-2016-4243, CVE-2016-4244, CVE-2016-4245, CVE-2016-4246).
  • Essas atualizações resolvem uma vulnerabilidade de vazamento de memória (CVE-2016-4232).
  • Essas atualizações resolvem vulnerabilidades de estouro de pilha que podem levar à execução de código (CVE-2016-4176, CVE-2016-4177).
  • Essas atualizações resolvem uma vulnerabilidade de falha de segurança que pode levar à divulgação de informações (CVE-2016-4178)

Agradecimentos

  • Yuki Chen da equipe Qihoo 360 Vulcan trabalhando com o Programa de Recompensas de Vulnerabilidade Chromium (CVE-2016-4249)
  • Nicolas Joly, da Microsoft Vulnerability Research (CVE-2016-4173)
  • Wen Guanxing do Pangu LAB (CVE-2016-4188, CVE-2016-4248)
  • Jaehun Jeong(@n3sk) da Equipe de Análise da WINS WSEC trabalhando com a Zero Day Initiative da Trend Micro (CVE-2016-4222)
  • Kai Kang (conhecido como 4B5F5F4B) trabalhando com a Zero Day Initiative da Trend Micro (CVE-2016-4174)
  • willJ do Tencent PC Manager (CVE-2016-4172)
  • Natalie Silvanovich do Google Project Zero (CVE-2016-4226, CVE-2016-4227, CVE-2016-4228, CVE-2016-4229, CVE-2016-4230, CVE-2016-4231, CVE-2016-4232)
  • Garandou Sara trabalhando com a Zero Day Initiative da Trend Micro (CVE-2016-4223)
  • Sébastien Morin, da COSIG (CVE-2016-4179)
  • Sébastien Morin, da COSIG, e Francis Provencher, da COSIG (CVE-2016-4175)
  • Kurutsu Karen trabalhando com a Zero Day Initiative da Trend Micro (CVE-2016-4225)
  • Soroush Dalili e Matthew Evans do NCC Group (CVE-2016-4178)
  • Yuki Chen, da Equipe Qihoo 360 Vulcan (CVE-2016-4180, CVE-2016-4181, CVE-2016-4183, CVE-2016-4184, CVE-2016-4185, CVE-2016-4186, CVE-2016-4187, CVE-2016-4233, CVE-2016-4234, CVE-2016-4235, CVE-2016-4236, CVE-2016-4239, CVE-2016-4240, CVE-2016-4241, CVE-2016-4242, CVE-2016-4243, CVE-2016-4244, CVE-2016-4245, CVE-2016-4246)
  • Yuki Chen, da Equipe Qihoo 360 Vulcan, Wen Guanxing, do Pangu LAB, e Tao Yan, da Palo Alto Networks (CVE-2016-4182)
  • Yuki Chek da Equipe Qihoo 360 Vulcan, e Tao Yan, da Palo Alto Networks (CVE-2016-4237, CVE-2016-4238) 
  • Junfeng Yang e Genwei Jiang da FireEye e Yuki Chen da Equipe Qihoo 360 Vulcan (CVE-2016-4185)
  • Ohara Rinne trabalhando com a Zero Day Initiative da Trend Micro (CVE-2016-4224)
  • Francis Provencher da COSIG (CVE-2016-4176, CVE-2016-4177)
  • Jie Zeng da Tencent Zhanlu Lab (CVE-2016-4189, CVE-2016-4190, CVE-2016-4217, CVE-2016-4218, CVE-2016-4219, CVE-2016-4220, CVE-2016-4221)
  • JieZeng, do Zhanlu Lab da Tencent, que trabalha com o Programa de recompensas de vulnerabilidade Chromium (CVE-2016-7020)
  • Stefan Kanthak (CVE-2016-4247)

Revisões

22 de agosto de 2016: adicionado crédito para os CVE-2016-4237, CVE-2016-4238 e CVE-2016-4182 para Tao Yan da Palo Alto Networks.   

26 de agosto de 2016: atualizado crédito para o CVE-2016-4175. 

3 de outubro de 2016: atualizado crédito para o CVE-2016-7020.