Обновления системы безопасности для Adobe Flash Player

Дата выпуска: 8 июля 2015 г.

Последнее обновление: 17 июля 2015 г.

Идентификатор уязвимости: APSB15-16

Приоритет: см. таблицу ниже

Номер CVE: CVE-2014-0578, CVE-2015-3097, CVE-2015-3114, CVE-2015-3115, CVE-2015-3116, CVE-2015-3117, CVE-2015-3118, CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-3123, CVE-2015-3124, CVE-2015-3125, CVE-2015-3126, CVE-2015-3127, CVE-2015-3128, CVE-2015-3129, CVE-2015-3130, CVE-2015-3131, CVE-2015-3132, CVE-2015-3133, CVE-2015-3134, CVE-2015-3135, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428, CVE-2015-4429, CVE-2015-4430, CVE-2015-4431, CVE-2015-4432, CVE-2015-4433, CVE-2015-5116, CVE-2015-5117, CVE-2015-5118, CVE-2015-5119, CVE-2015-5124

Платформа: все платформы

Сводка

Компания Adobe выпустила обновления системы безопасности для Adobe Flash Player для Windows, Macintosh и Linux. В этих обновлениях устранены критические уязвимости, которые потенциально могли позволить злоумышленнику получить контроль над уязвимой системой. Компании Adobe известно об обнародовании эксплойта для уязвимости CVE-2015-5119. 

Затронутые версии

Продукт Затронутые версии Платформа
Настольная среда выполнения Adobe Flash Player 18.0.0.194 и более ранних версий
Windows и Macintosh
Версия Adobe Flash Player с расширенной поддержкой 13.0.0.296 и более ранних версий Windows и Macintosh
Adobe Flash Player для Google Chrome  18.0.0.194 и более ранних версий Windows, Macintosh и Linux
Adobe Flash Player для Internet Explorer 10 и Internet Explorer 11 18.0.0.194 и более ранних версий Windows 8.0 и 8.1
Adobe Flash Player 11.2.202.468 и более ранних версий Linux
Настольная среда выполнения AIR 18.0.0.144 и более ранних версий Windows и Macintosh
AIR SDK 18.0.0.144 и более ранних версий Windows, Macintosh, Android и iOS
AIR SDK & Compiler 18.0.0.144 и более ранних версий Windows, Macintosh, Android и iOS
  • Для получения информации о версии Adobe Flash Player, установленной на компьютере, обратитесь к веб-странице «About Flash Player» или нажмите правой кнопкой мыши контент, загруженный во Flash Player, и выберите в меню «About Adobe (или Macromedia) Flash Player». При использовании нескольких браузеров эту проверку необходимо провести для каждого из них.  
  • Чтобы получить информацию о версии Adobe AIR, установленной на компьютере, обратитесь к инструкциям в технических замечаниях Adobe AIR TechNote

Решение

Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.

Продукт Обновленные версии Платформа Приоритет
Доступность
Настольная среда выполнения Flash Player
18.0.0.203 Windows и Macintosh
1 Центр загрузки Flash Player  Распространение Flash Player
Версия Flash Player с расширенной поддержкой 13.0.0.302 Windows и Macintosh
1 Расширенная поддержка
Flash Player для Linux 11.2.202.481 Linux 3 Центр загрузки Flash Player
Flash Player для Google Chrome 18.0.0.203  Windows и Macintosh    1 Выпуски Google Chrome
Flash Player для Google Chrome 18.0.0.204 Linux 3 Выпуски Google Chrome
Flash Player для Internet Explorer 10 и Internet Explorer 11 18.0.0.203 Windows 8.0 и 8.1
1 Советы корпорации Майкрософт по безопасности
Настольная среда выполнения AIR 18.0.0.180 Windows и Macintosh 3 Центр загрузки AIR
AIR SDK 18.0.0.180 Windows, Macintosh, Android и iOS 3 Загрузка AIR SDK
AIR SDK & Compiler 18.0.0.180 Windows, Macintosh, Android и iOS 3 Загрузка AIR SDK
  • Компания Adobe рекомендует пользователям настольной среды выполнения Adobe Flash Player для Windows и Macintosh обновить это программное обеспечение до версии Adobe Flash Player 18.0.0.203, посетив Центр загрузки Adobe Flash Player или используя функцию обновления продукта при получении соответствующего запроса[1].
  • Компания Adobe рекомендует пользователям версии Adobe Flash Player с расширенной поддержкой обновить программное обеспечение до версии 13.0.0.302, посетив страницу http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html.
  • Компания Adobe рекомендует пользователям Adobe Flash Player для Linux обновить это программное обеспечение до версии Adobe Flash Player 11.2.202.481, посетив центр загрузки Adobe Flash Player.
  • Приложение Adobe Flash Player, установленное вместе с Google Chrome, будет обновлено автоматически до последней версии браузера Google Chrome, который будет включать Adobe Flash Player 18.0.0.203 для Windows и Macintosh и Flash Player 18.0.0.204 для Linux.
  • Приложение Adobe Flash Player, установленное вместе с Internet Explorer для Windows 8.x, будет обновлено автоматически до последней версии браузера Internet Explorer, которая будет включать Adobe Flash Player 18.0.0.203.
  • Посетите страницу справки Flash Player для получения информации по установке Flash Player.
 
[1] На компьютерах пользователей Flash Player 11.2.x и более поздних версий для Windows и Flash Player 11.3.x и более поздних версий для Macintosh, на которых задано обновление без уведомлений, обновление будет выполняться автоматически. Пользователи, которые не задали обновление без уведомлений, могут также установить обновление с помощью средства обновлений, встроенного в продукт, после появления соответствующего напоминания.
 
[2] Примечание: начиная с 11 августа 2015 г., компания Adobe обновит версию с расширенной поддержкой с Flash Player 13 до Flash Player 18 для Macintosh и Windows. Чтобы всегда использовать все доступные обновления безопасности, пользователи должны установить версию 18 проигрывателя Flash Player с расширенной поддержкой или обновить до самой последней доступной версии. Для получения подробной информации см. следующий блог: http://blogs.adobe.com/flashplayer/2015/05/upcoming-changes-to-flash-players-extended-support-release-2.html

Сведения об уязвимости

  • Эти обновления улучшают рандомизацию адресов памяти Flash-кучи для 64-рарядной платформы Windows 7 (CVE-2015-3097).
  • В этих обновлениях устранена уязвимость, связанная с переполнением буфера кучи, которая могла привести к выполнению кода (CVE-2015-3135, CVE-2015-4432, CVE-2015-5118).
  • В этих обновлениях устранена уязвимость, связанная с повреждением памяти, которая могла привести к выполнению кода (CVE-2015-3117, CVE-2015-3123, CVE-2015-3130, CVE-2015-3133, CVE-2015-3134, CVE-2015-4431, CVE-2015-5124).
  • В этих обновлениях устранены проблемы, связанные разыменованием нулевого указателя (CVE-2015-3126, CVE-2015-4429).
  • В этих обновлениях устранена уязвимость, связанная с наличием возможности обхода функций безопасности, которая могла привести к раскрытию информации (CVE-2015-3114).
  • В этих обновлениях устранена уязвимость, связанная с неверным типом, которая могла привести к выполнению кода (CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-4433).
  • В этих обновлениях устранены уязвимости защиты доступа к освобожденной памяти, которые могли привести к выполнению кода (CVE-2015-3118, CVE-2015-3124, CVE-2015-5117, CVE-2015-3127, CVE-2015-3128, CVE-2015-3129, CVE-2015-3131, CVE-2015-3132, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428, CVE-2015-4430, CVE-2015-5119).
  • В этих обновлениях устранены уязвимости, которые могли бы использоваться для обхода политики одного источника и привести к раскрытию информации (CVE-2014-0578, CVE-2015-3115, CVE-2015-3116, CVE-2015-3125, CVE-2015-5116).

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:

  • Бэн Хокс, Google Project Zero (CVE-2015-4430)
  • Пользователь bilou, участник программы вознаграждений за поиск уязвимостей Chromium (CVE-2015-3118, CVE-2015-3128)
  • Крис Эванс, Google Project Zero (CVE-2015-3097, CVE-2015-5118)
  • Крис Эванс, Бэн Хокс, Матеуш Юржик, Google Project Zero (CVE-2015-4432)
  • Дэвид Кравцов (dontsave), работает с группой Zero Day Initiative компании HP (CVE-2015-3125)
  • Взламыватель, информационный центр угроз безопасности Alibaba (CVE-2015-3133)
  • Кей Канг, лаборатория Xuanwu компании Tencent (CVE-2015-5124)
  • Кай Лу (Kai Lu), Fortinet's FortiGuard Labs (CVE-2015-3117)
  • Цзихуэй Лу, KEENTeam (CVE-2015-3124)
  • Малте Батрам (CVE-2015-3115, CVE-2015-3116)
  • Матеуш Юржик, Google Project Zero (CVE-2015-3123)
  • Натали Сильванович, Google Project Zero (CVE-2015-3130, CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-4433, CVE-2015-5117, CVE-2015-3127, CVE-2015-3129, CVE-2015-3131, CVE-2015-3132, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428)
  • Соруш Далили из группы NCC (CVE-2015-3114, CVE-2014-0578)
  • Пользователь willJ, работает на Tencent PC Manager (CVE-2015-3126)
  • Юки Чен, Qihoo 360Vulcan Team (CVE-2015-3134, CVE-2015-3135, CVE-2015-4431)
  • Пользователь Zręczny Gamoń (CVE-2015-5116)
  • Google Project Zero и Морган Марки-Буар (CVE-2015-5119)

Редакции

17 июля 2015 г.: обновление добавлены дополнительные номера проблем CVE (CVE-2015-5124), разрешенных в этих обновлениях, но случайно не была включена в бюллетень.