Бюллетень безопасности Adobe

Дата публикации:9 июня 2015 г.

Последнее обновление: 3 июля 2015 г.

Идентификатор уязвимости: APSB15-11

Приоритет: см. таблицу ниже

Номер CVE: CVE-2015-3096, CVE-2015-3097, CVE-2015-3098, CVE-2015-3099, CVE-2015-3100, CVE-2015-3101, CVE-2015-3102, CVE-2015-3103, CVE-2015-3104, CVE-2015-3105, CVE-2015-3106, CVE-2015-3107, CVE-2015-3108, CVE-2015-5120

Платформа: все платформы

Компания Adobe выпустила обновления системы безопасности для Adobe Flash Player и более ранних версий для Windows, Macintosh и Linux.  В этих обновлениях устранены уязвимости, которые потенциально могли позволить злоумышленнику получить контроль над уязвимой системой.  Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий:

• Пользователям настольной среды выполнения Adobe Flash Player для Windows и Macintosh следует обновить программное обеспечение до Adobe Flash Player 18.0.0.160.
• Пользователям версии Adobe Flash Player с расширенной поддержкой для Windows и Macintosh следует обновить программное обеспечение до версии Adobe Flash Player 13.0.0.292. *
• Пользователям Adobe Flash Player для Linux следует обновить программное обеспечение до Adobe Flash Player 11.2.202.466.
• Проигрыватель Adobe Flash Player, установленный вместе с Google Chrome, автоматически обновится до версии 18.0.0.160 (Windows и Linux) и 18.0.0.161 (Macintosh). 
• Проигрыватель Adobe Flash Player, установленный вместе с Internet Explorer в системе Windows 8.x, автоматически обновится до версии 18.0.0.160.
• Пользователям настольной среды выполнения Adobe AIR следует обновить это программное обеспечение до версии 18.0.0.143 (Macintosh) и 18.0.0.144 (Windows).
• Пользователям Adobe AIR SDK и AIR SDK & Compiler следует обновить это программное обеспечение до версии 18.0.0.143 (Macintosh) и 18.0.0.144 (Windows). 
• Пользователям Adobe AIR для Android следует обновить программное обеспечение до версии 18.0.0.143. 

• Adobe Flash Player 17.0.0.188 и более ранних версий для Windows и Macintosh
• Проигрыватель Adobe Flash Player с расширенной поддержкой, выпуск 13.0.0.289 и более ранних версий для Windows и Macintosh
• Adobe Flash Player 11.2.202.460 и более ранних версий 11.x для Linux
• Настольная среда выполнения Adobe AIR 17.0.0.172 и более ранних версий для Windows и Macintosh
• Adobe AIR SDK и Flex SDK & Compiler 17.0.0.172 и более ранних версий для Windows и Macintosh
• Adobe AIR 17.0.0.144 и более ранние версии для Android

Для получения информации о версии Adobe Flash Player, установленной на компьютере, обратитесь к веб-странице «About Flash Player» или нажмите правой кнопкой мыши контент, загруженный во Flash Player, и выберите в меню «About Adobe (или Macromedia) Flash Player». При использовании нескольких браузеров эту проверку необходимо провести для каждого из них.

Чтобы получить информацию о версии Adobe AIR, установленной на компьютере, обратитесь к инструкциям в технических замечаниях Adobe AIR TechNote.

Adobe рекомендует пользователям обновить уязвимые версии программы, следуя нижеприведенным инструкциям.

• Компания Adobe рекомендует пользователям настольной среды выполнения Adobe Flash Player для Windows и Macintosh обновить это программное обеспечение до версии Adobe Flash Player 18.0.0.160, посетив Центр загрузки Adobe Flash Player или используя функцию обновления продукта при получении соответствующего запроса.
• Компания Adobe рекомендует пользователям версии Adobe Flash Player с расширенной поддержкой обновить программное обеспечение до версии 13.0.0.292, посетив страницу http://helpx.adobe.com/ru/flash-player/kb/archived-flash-player-versions.html.*
• Компания Adobe рекомендует пользователям Adobe Flash Player для Linux обновить это программное обеспечение до версии Adobe Flash Player 11.2.202.466, посетив центр загрузки Adobe Flash Player.
• Приложение Adobe Flash Player, установленное вместе с Google Chrome, будет обновлено автоматически до последней версии браузера Google Chrome, которая будет включать Adobe Flash Player 18.0.0.160 (Windows и Linux) и 18.0.0.161 (Macintosh).
• Приложение Adobe Flash Player, установленное вместе с Internet Explorer для Windows 8.x, будет обновлено автоматически до последней версии браузера Internet Explorer, которая будет включать Adobe Flash Player 18.0.0.160.
• Adobe рекомендует пользователям новой версии настольной среды выполнения Adobe AIR выполнить обновление до версии 18.0.0.143 (Macintosh) и 18.0.0.144 (Windows), посетив Центр загрузки AIR. 
• Adobe рекомендует пользователям Adobe AIR SDK и AIR SDK & Compiler выполнить обновление до версии 18.0.0.143 (Macintosh) и 18.0.0.144 (Windows), посетив Центр загрузки AIR. 
• Adobe рекомендует пользователям Adobe AIR для Android выполнить обновление до версии 18.0.0.143, загрузив последнюю версию из Google Play store. 

*Примечание: начиная с 11 августа 2015 г., компания Adobe обновит версию с расширенной поддержкой с Flash Player 13 до Flash Player 18 для Macintosh и Windows.  Чтобы всегда использовать все доступные обновления безопасности, пользователи должны установить версию 18 проигрывателя Flash Player с расширенной поддержкой или обновить до самой последней доступной версии. Для получения подробных сведений см. данную публикацию в блоге. 

Adobe классифицирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до более новых версий.

В этих обновлениях исправлены критические уязвимости программного обеспечения.

Компания Adobe выпустила обновления системы безопасности для Adobe Flash Player и более ранних версий для Windows, Macintosh и Linux.  В этих обновлениях устранены уязвимости, которые потенциально могли позволить злоумышленнику получить контроль над уязвимой системой.  Adobe рекомендует пользователям обновить свое программное обеспечение до последних версий: 

• Пользователям настольной среды выполнения Adobe Flash Player для Windows и Macintosh следует обновить программное обеспечение до версии Adobe Flash Player 18.0.0.160. 
• Пользователям версии Adobe Flash Player с расширенной поддержкой для Windows и Macintosh следует обновить программное обеспечение до версии Adobe Flash Player 13.0.0.292.  
• Пользователям Adobe Flash Player для Linux следует обновить программное обеспечение до Adobe Flash Player 11.2.202.466. 
• Проигрыватель Adobe Flash Player, установленный вместе с Google Chrome, автоматически обновится до версии обновлению до версии 18.0.0.160 (Windows и Linux) и 18.0.0.161 (Macintosh).  
• Проигрыватель Adobe Flash Player, установленный вместе с Internet Explorer в системе Windows 8.x, автоматически обновится до версии 18.0.0.160. 
• Пользователям настольной среды выполнения Adobe AIR следует обновить это программное обеспечение до версии 18.0.0.143 (Macintosh) и 18.0.0.144 (Windows). 
• Пользователям Adobe AIR SDK и AIR SDK & Compiler следует обновить это программное обеспечение до версии 18.0.0.143 (Macintosh) и 18.0.0.144 (Windows).  
• Пользователям Adobe AIR для Android следует обновить программное обеспечение до версии 18.0.0.143.

В этом обновлении устранена уязвимость (CVE-2015-3096), которая могла быть использована для обхода исправления CVE-2014-5333. 

Эти обновления улучшают рандомизацию адресов памяти Flash-кучи для 64-рарядной платформы Windows 7 (CVE-2015-3097). 

В этих обновлениях устранены уязвимости, которые могли бы использоваться для обхода политики одного источника и привести к раскрытию информации (CVE-2015-3098, CVE-2015-3099, CVE-2015-3102).  

В этих обновлениях устранена уязвимость, связанная с переполнением стека, которая могла привести к выполнению кода (CVE-2015-3100).

В этом обновлении устранена проблема разрешения во Flash-брокере для Internet Explorer, которую можно было бы использовать для повышения уровня привилегий с низкого до среднего (CVE-2015-3101).    

В этих обновлениях исправлена проблема целочисленного переполнения, которая могла привести к выполнению кода (CVE-2015-3104).

В этих обновлениях устранена уязвимость, связанная с повреждением памяти, которая могла привести к выполнению кода (CVE-2015-3105, CVE-2015-5120).

В этих обновлениях устранены уязвимости защиты доступа к освобожденной памяти, которые могли привести к выполнению кода (CVE-2015-3103, CVE-2015-3106, CVE-2015-3107).

В этих обновлениях устранена уязвимость утечки памяти, которая могла использовать для обхода ASLR (CVE-2015-3108). 

Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:

• Пользователь bilou, участник программы вознаграждений за поиск уязвимостей Chromium (CVE-2015-3106)
• Крис Эванс, Google Project Zero (CVE-2015-3097, CVE-2015-3104, CVE-2015-3105, CVE-2015-3108)
• Хайфеи Ли из группы McAfee Labs IPS (CVE-2015-3100) 
• 李普君 (Пуцзюнь Ли) / рабочая группа PKAV (pkav.net) (CVE-2015-3102)
• Малте Батрам (CVE-2015-3098, CVE-2015-3099)  
• Натали Силванович (Natalie Silvanovich), участница проекта Google Project Zero (CVE-2015-3107)
• Томас Полесовский (CVE-2015-3096) 
• Вэн Гуансин из Venustech ADLAB (CVE-2015-3103)
• Линан Хао, Qihoo 360 Vulcan Team (CVE-2015-5120)
  

3 июля 2015 г.: добавлена ссылка на проблему безопасности CVE-2015-5120, которая была решена в обновлениях, но случайно не была включена в бюллетень.