Бюллетень безопасности Adobe

Дата выпуска: 9 декабря 2014 г.

Идентификатор уязвимости: APSB14-27

Приоритет: см. таблицу ниже

Номер CVE: CVE-2014-0580, CVE-2014-0587, CVE-2014-8443, CVE-2014-9162, CVE-2014-9163, CVE-2014-9164 

Платформа: все платформы

Компания Adobe выпустила обновления системы безопасности для Adobe Flash Player и более ранних версий для Windows, Macintosh и Linux.  В этих обновлениях устранены уязвимости, которые потенциально могли позволить злоумышленнику получить контроль над уязвимой системой.

Компания Adobe осведомлена о том, что использование CVE-2014-9163 существует на практике, и рекомендует пользователям обновить уязвимые версии продукта до следующих самых последних версий.

• Пользователям настольной среды выполнения Adobe Flash Player для Windows и Macintosh следует обновить программное обеспечение до Adobe Flash Player 16.0.0.235.
• Пользователям версии Adobe Flash Player с расширенной поддержкой следует обновить программное обеспечение до Adobe Flash Player 13.0.0.259.
• Пользователям Adobe Flash Player для Linux следует обновить программное обеспечение до Adobe Flash Player 11.2.202.425.
• Проигрыватель Adobe Flash Player, установленный вместе с Google Chrome, а так же Internet Explorer в системе Windows 8.x, будет автоматически обновлен до текущей версии.

Примечание: обновление версии до 15.0.0.246 не подвержено уязвимости CVE-2014-9163.

• Adobe Flash Player 15.0.0.242 и более ранние версии
• Adobe Flash Player 13.0.0.258 и более ранние версии 13.x
• Adobe Flash Player 11.2.202.424 и более ранние версии для Linux

Для получения информации о версии Adobe Flash Player, установленной на компьютере, обратитесь к веб-странице «About Flash Player» или нажмите правой кнопкой мыши контент, загруженный во Flash Player, и выберите в меню «About Adobe (или Macromedia) Flash Player». При использовании нескольких браузеров эту проверку необходимо провести для каждого из них.

Adobe рекомендует пользователям обновить уязвимые версии программы, следуя нижеприведенным инструкциям.

• Компания Adobe рекомендует пользователям настольной среды выполнения Adobe Flash Player и более ранних версий для Windows и Macintosh обновить это программное обеспечение до версии Adobe Flash Player 16.0.0.235, посетив Центр загрузки Adobe Flash Player или с помощью функции обновления продукта при получении соответствующего запроса.
• Компания Adobe рекомендует пользователям версии Adobe Flash Player с расширенной поддержкой обновить программное обеспечение до версии 13.0.0.259, посетив страницу http://helpx.adobe.com/ru/flash-player/kb/archived-flash-player-versions.html.
• Компания Adobe рекомендует пользователям Adobe Flash Player для Linux обновить это программное обеспечение до версии Adobe Flash Player 11.2.202.425, посетив центр загрузки Adobe Flash Player.
• Приложение Adobe Flash Player, установленное вместе с Google Chrome, будет автоматически обновлено до последней версии браузера Google Chrome, который будет включать Adobe Flash Player 16.0.0.235.
• Приложение Adobe Flash Player, установленное вместе с Internet Explorer для Windows 8.x, будет обновлено автоматически до последней версии браузера Internet Explorer, которая будет включать Adobe Flash Player 16.0.0.235.

Adobe классифицирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до более новых версий.

В этих обновлениях исправлены критические уязвимости программного обеспечения.

Компания Adobe выпустила обновления системы безопасности для Adobe Flash Player и более ранних версий для Windows, Macintosh и Linux.  В этих обновлениях устранены уязвимости, которые потенциально могли позволить злоумышленнику получить контроль над уязвимой системой. Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий:

• Пользователям настольной среды выполнения Adobe Flash Player для Windows и Macintosh следует обновить программное обеспечение до Adobe Flash Player 16.0.0.235.
• Пользователям версии Adobe Flash Player с расширенной поддержкой следует обновить программное обеспечение до Adobe Flash Player 13.0.0.259.
• Пользователям Adobe Flash Player для Linux следует обновить программное обеспечение до Adobe Flash Player 11.2.202.425.
• Проигрыватель Adobe Flash Player, установленный вместе с Google Chrome, а так же Internet Explorer в системе Windows 8.x, будет автоматически обновлен до текущей версии.

В этих обновлениях исправлены уязвимости, связанные с повреждением памяти, которые могли привести к исполнению кода ( CVE-2014-0587, CVE-2014-9164).

В этих обновлениях устранена уязвимость защиты доступа к освобожденной памяти, которая могла привести к выполнению кода (CVE-2014-8443).

В этих обновлениях устранена уязвимость, связанная с переполнением стекового буфера, которая могла привести к выполнению кода (CVE-2014-9163).

В этих обновлениях устранена уязвимость раскрытия информации (CVE-2014-9162).

В этих обновлениях устранена уязвимость, которая могла быть использована для обхода политики ограничения домена (CVE-2014-0580). 

Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:

• Пользователь bilou, участник программы Zero Day Initiative компании HP (CVE-2014-9163)
• Фермин Дж. Серна, Матеуш Юржик и Бен Хоукс из Google Security Team (CVE-2014-0587)
• Хайфеи Ли из группы McAfee Labs IPS (CVE-2014-8443)
• Тэвис Орманди и Крис Эванс из Google Project Zero (CVE-2014-9164)
• Тошихару Сугияма из DeNA Co., Ltd. (CVE-2014-0580)
• Вэн Гуаньсин из Venustech ADLAB, сотрудничающий с HP в рамках программы Zero Day Initiative (CVE-2014-9162)