Обновления системы безопасности для Adobe Flash Player

Дата выпуска: 8 декабря 2015 года

Последнее обновление: 3 июня 2016 г.

Идентификатор уязвимости: APSB15-32

Приоритет: см. таблицу ниже

Номер CVE: CVE-2015-8045, CVE-2015-8047, CVE-2015-8048, CVE-2015-8049, CVE-2015-8050, CVE-2015-8418, CVE-2015-8454, CVE-2015-8455, CVE-2015-8055, CVE-2015-8056, CVE-2015-8057, CVE-2015-8058, CVE-2015-8059, CVE-2015-8060, CVE-2015-8061, CVE-2015-8062, CVE-2015-8063, CVE-2015-8064, CVE-2015-8065, CVE-2015-8066, CVE-2015-8067, CVE-2015-8068, CVE-2015-8069, CVE-2015-8070, CVE-2015-8071, CVE-2015-8401, CVE-2015-8402, CVE-2015-8403, CVE-2015-8404, CVE-2015-8405, CVE-2015-8406, CVE-2015-8407, CVE-2015-8408, CVE-2015-8409, CVE-2015-8410, CVE-2015-8411, CVE-2015-8412, CVE-2015-8413, CVE-2015-8414, CVE-2015-8415, CVE-2015-8416, CVE-2015-8417, CVE-2015-8419, CVE-2015-8420, CVE-2015-8421, CVE-2015-8422, CVE-2015-8423, CVE-2015-8424, CVE-2015-8425, CVE-2015-8426, CVE-2015-8427, CVE-2015-8428, CVE-2015-8429, CVE-2015-8430, CVE-2015-8431, CVE-2015-8432, CVE-2015-8433, CVE-2015-8434, CVE-2015-8435, CVE-2015-8436, CVE-2015-8437, CVE-2015-8438, CVE-2015-8439, CVE-2015-8440, CVE-2015-8441, CVE-2015-8442, CVE-2015-8443, CVE-2015-8444, CVE-2015-8445, CVE-2015-8446, CVE-2015-8447, CVE-2015-8448, CVE-2015-8449, CVE-2015-8450, CVE-2015-8451, CVE-2015-8452, CVE-2015-8453, CVE-2015-8456, CVE-2015-8457, CVE-2015-8652, CVE-2015-8653, CVE-2015-8654, CVE-2015-8655, CVE-2015-8656, CVE-2015-8657, CVE-2015-8658, CVE-2015-8820, CVE-2015-8821, CVE-2015-8822, CVE-2015-8823

Платформа: все платформы

Сводка

Компания Adobe выпустила обновления системы безопасности для Adobe Flash Player.  В этих обновлениях устранены критические уязвимости, которые потенциально могли позволить злоумышленнику получить контроль над уязвимой системой.

Затронутые версии

Продукт Затронутые версии Платформа
Настольная среда выполнения Adobe Flash Player 19.0.0.245 и более ранних версий
Windows и Macintosh
Версия Adobe Flash Player с расширенной поддержкой 18.0.0.261 и более ранних версий Windows и Macintosh
Adobe Flash Player для Google Chrome 19.0.0.245 и более ранних версий Windows, Macintosh, Linux и ChromeOS
Adobe Flash Player для Microsoft Edge и Internet Explorer 11 19.0.0.245 и более ранних версий Windows 10
Adobe Flash Player для Internet Explorer 10 и 11 19.0.0.245 и более ранних версий Windows 8.0 и 8.1
Adobe Flash Player для Linux 11.2.202.548 и более ранних версий Linux
Настольная среда выполнения AIR 19.0.0.241 и более ранних версий Windows и Macintosh
AIR SDK 19.0.0.241 и более ранних версий Windows, Macintosh, Android и iOS
AIR SDK & Compiler 19.0.0.241 и более ранних версий Windows, Macintosh, Android и iOS
AIR для Android 19.0.0.241 и более ранних версий Android
  • Для получения информации о версии Adobe Flash Player, установленной на компьютере, обратитесь к веб-странице «About Flash Player» или нажмите правой кнопкой мыши контент, загруженный во Flash Player, и выберите в меню «About Adobe (или Macromedia) Flash Player». При использовании нескольких браузеров эту проверку необходимо провести для каждого из них.  
  • Чтобы получить информацию о версии Adobe AIR, установленной на компьютере, обратитесь к инструкциям в технических замечаниях Adobe AIR TechNote.

Решение

Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.

Продукт Обновленные версии Платформа Доступность
Настольная среда выполнения проигрывателя Adobe Flash Player (поддержка Internet Explorer)
20.0.0.228 Windows и Macintosh
1

Центр загрузки Flash Player

Дистрибутив Flash Player

Настольная среда выполнения Adobe Flash Player (поддержка для Firefox и Safari) 20.0.0.235 Windows и Macintosh 1

Центр загрузки Flash Player  

Дистрибутив Flash Player

Версия Adobe Flash Player с расширенной поддержкой 18.0.0.268 Windows и Macintosh
1 Расширенная поддержка
Adobe Flash Player для Google Chrome 20.0.0.228 Windows, Macintosh, Linux и ChromeOS    1 Выпуски Google Chrome
Adobe Flash Player для Microsoft Edge и Internet Explorer 11 20.0.0.228 Windows 10 1 Советы корпорации Майкрософт по безопасности
Adobe Flash Player для Internet Explorer 10 и 11 20.0.0.228 Windows 8.0 и 8.1
1 Советы корпорации Майкрософт по безопасности
Adobe Flash Player для Linux 11.2.202.554 Linux 3 Центр загрузки Flash Player
Настольная среда выполнения AIR 20.0.0.204 Windows и Macintosh 3 Центр загрузки AIR
AIR SDK 20.0.0.204 Windows, Macintosh, Android и iOS 3 Загрузка AIR SDK
AIR SDK & Compiler 20.0.0.204 Windows, Macintosh, Android и iOS 3 Загрузка AIR SDK
AIR для Android 20.0.0.204 Android 3 Google Play
  • Компания Adobe рекомендует пользователям настольной среды выполнения Adobe Flash Player для Windows и Macintosh обновить это программное обеспечение до версии 20.0.0.228 Internet Explorer) и 20.0.0.235 (поддержка для Firefox и Safari), посетив Центр загрузки Adobe Flash Player или используя функцию обновления внутри продукта при получении соответствующего запроса[1].
  • Компания Adobe рекомендует пользователям версии Adobe Flash Player с расширенной поддержкой обновить программное обеспечение до версии 18.0.0.268, посетив страницу http://helpx.adobe.com/ru/flash-player/kb/archived-flash-player-versions.html.
  • Компания Adobe рекомендует пользователям Adobe Flash Player для Linux обновить это программное обеспечение до версии Adobe Flash Player 11.2.202.554, посетив Центр загрузки Adobe Flash Player.
  • Приложение Adobe Flash Player, установленное вместе с Google Chrome, будет обновлено автоматически до последней версии браузера Google Chrome, которая будет включать Adobe Flash Player 20.0.0.228 для Windows, Macintosh, Linux и Chrome OS.
  • Приложение Adobe Flash Player, установленное вместе с Microsoft Edge и Internet Explorer для Windows 10, будет обновлено автоматически до последней версии, которая будет включать Adobe Flash Player 20.0.0.228. 
  • Приложение Adobe Flash Player, установленное вместе с Internet Explorer для Windows 8.x, будет обновлено автоматически до последней версии браузера Internet Explorer, которая будет включать Adobe Flash Player 20.0.0.228.
  • Adobe рекомендует пользователям настольной среды выполнения AIR, AIR SDK и AIR SDK & Compiler обновить это программное обеспечение до версии 20.0.0.204, посетив центр загрузки AIR или центр разработчиков AIR.
  • Посетите страницу справки Flash Player для получения информации по установке Flash Player.
 
[1] На компьютерах пользователей Flash Player 11.2.x и более поздних версий для Windows и Flash Player 11.3.x и более поздних версий для Macintosh, на которых задано обновление без уведомлений, обновление будет выполняться автоматически. Пользователи, которые не задали обновление без уведомлений, могут также установить обновление с помощью средства обновлений, встроенного в продукт, после появления соответствующего напоминания.

Сведения об уязвимости защиты

  • В этих обновлениях исправлены уязвимости, связанные с переполнением буфера, которые могли привести к выполнению кода (CVE-2015-8438, CVE-2015-8446).
  • В этих обновлениях устранены уязвимости, связанные с повреждением памяти, которые могли привести к выполнению кода (CVE-2015-8444, CVE-2015-8443, CVE-2015-8417, CVE-2015-8416, CVE-2015-8451, CVE-2015-8047, CVE-2015-8455, CVE-2015-8045, CVE-2015-8418, CVE-2015-8060, CVE-2015-8419, CVE-2015-8408, CVE-2015-8652, CVE-2015-8654, CVE-2015-8656, CVE-2015-8657, CVE-2015-8658, CVE-2015-8820).
  • В этих обновлениях устранена уязвимость, связанная с наличием возможности для обхода функций безопасности (CVE-2015-8453, CVE-2015-8440, CVE-2015-8409).
  • В этих обновлениях устранена уязвимость, связанная с переполнением стека, которая могла привести к выполнению кода (CVE-2015-8407, CVE-2015-8457).
  • В этих обновлениях устранена уязвимость, связанная со смешением типов, которая могла привести к выполнению кода (CVE-2015-8439, CVE-2015-8456).
  • В этих обновлениях исправлена проблема целочисленного переполнения, которая могла привести к выполнению кода (CVE-2015-8445).
  • В этих обновлениях устранена уязвимость, связанная с переполнением буфера, которая могла привести к выполнению кода (CVE-2015-8415)
  • В этих обновлениях устранены уязвимости, связанные с использованием освобожденной памяти, которые могли привести к выполнению кода (CVE-2015-8050, CVE-2015-8049, CVE-2015-8437, CVE-2015-8450, CVE-2015-8449, CVE-2015-8448, CVE-2015-8436, CVE-2015-8452, CVE-2015-8048, CVE-2015-8413, CVE-2015-8412, CVE-2015-8410, CVE-2015-8411, CVE-2015-8424, CVE-2015-8422, CVE-2015-8420, CVE-2015-8421, CVE-2015-8423, CVE-2015-8425, CVE-2015-8433, CVE-2015-8432, CVE-2015-8431, CVE-2015-8426, CVE-2015-8430, CVE-2015-8427, CVE-2015-8428, CVE-2015-8429, CVE-2015-8434, CVE-2015-8435, CVE-2015-8414, CVE-2015-8454, CVE-2015-8059, CVE-2015-8058, CVE-2015-8055, CVE-2015-8057, CVE-2015-8056, CVE-2015-8061, CVE-2015-8067, CVE-2015-8066, CVE-2015-8062, CVE-2015-8068, CVE-2015-8064, CVE-2015-8065, CVE-2015-8063, CVE-2015-8405, CVE-2015-8404, CVE-2015-8402, CVE-2015-8403, CVE-2015-8071, CVE-2015-8401, CVE-2015-8406, CVE-2015-8069, CVE-2015-8070, CVE-2015-8441, CVE-2015-8442, CVE-2015-8447, CVE-2015-8653, CVE-2015-8655, CVE-2015-8822, CVE-2015-8821, CVE-2015-8823).

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов: 

  • Абдул-Азиз Харири, HPE Zero Day Initiative (CVE-2015-8652, CVE-2015-8653, CVE-2015-8654, CVE-2015-8656, CVE-2015-8657, CVE-2015-8822, CVE-2015-8658, CVE-2015-8820, CVE-2015-8821)
  • Анонимный пользователь, участник программы HPE Zero Day Initiative (CVE-2015-8050, CVE-2015-8049, CVE-2015-8437, CVE-2015-8438, CVE-2015-8446, CVE-2015-8655, CVE-2015-8823)
  • Пользователь bee13oy, участвующий в программе Chromium Vulnerability Rewards Program (CVE-2015-8418)
  • Пользователь Bilou, участник программы HPE Zero Day Initiative (CVE-2015-8450, CVE-2015-8449, CVE-2015-8448, CVE-2015-8442, CVE-2015-8447, CVE-2015-8445, CVE-2015-8439)
  • Фуругава Нагиса, участник программы HPE Zero Day Initiative (CVE -2015-8436)
  • Хуэй Гао, Palo Alto Networks (CVE -2015-8443, CVE -2015-8444)
  • Взламыватель, информационный центр угроз безопасности Alibaba (CVE-2015-8060, CVE-2015-8408, CVE-2015-8419)
  • Цзе Чжен, Qihoo 360 (CVE-2015-8415, CVE-2015-8417)
  • Цзе Чжен, Qihoo 360, и анонимной пользователь, участник программы HPE Zero Day Initiative (CVE-2015-8416)
  • LMX, Qihoo 360 (CVE-2015-8451, CVE-2015-8452)
  • Натали Сильванович, Google Project Zero (CVE-2015-8048, CVE-2015-8413, CVE-2015-8412, CVE-2015-8410, CVE-2015-8411, CVE-2015-8424, CVE-2015-8422, CVE-2015-8420, CVE-2015-8421, CVE-2015-8423, CVE-2015-8425, CVE-2015-8433, CVE-2015-8432, CVE-2015-8431, CVE-2015-8426, CVE-2015-8430, CVE-2015-8427, CVE-2015-8428, CVE-2015-8429, CVE-2015-8434, CVE-2015-8456)
  • Николас Джоли, отдел безопасности Microsoft (CVE-2015-8414, CVE-2015-8435)
  • Пользователь s3tm3m, участник программы HP Zero Day Initiative (CVE-2015-8457)
  • Пользователь, участник программы HPE Zero Day Initiative (CVE-2015-8453)
  • Пользователь willJ, Tencent PC Manager (CVE-2015-8407)
  • Юки Чен, группа Vulcan, Qihoo 360 (CVE-2015-8454, CVE-2015-8059, CVE-2015-8058, CVE-2015-8055, CVE-2015-8057, CVE-2015-8056, CVE-2015-8061, CVE-2015-8067, CVE-2015-8066, CVE-2015-8062, CVE-2015-8068, CVE-2015-8064, CVE-2015-8065, CVE-2015-8063, CVE-2015-8405, CVE-2015-8404, CVE-2015-8402, CVE-2015-8403, CVE-2015-8071, CVE-2015-8401, CVE-2015-8406, CVE-2015-8069, CVE-2015-8070, CVE-2015-8440, CVE-2015-8409, CVE-2015-8047, CVE-2015-8455, CVE-2015-8045, CVE-2015-8441)

Редакции

8 декабря 2015 г.: удалены CVE-2015-8051, CVE-2015-8052 and CVE-2015-8053 (все ранее были назначены). Добавлен CVE-2015-8418 (вместо CVE-2015-8051), CVE-2015-8454 (вместо CVE-2015-8052) и CVE-2015-8455 (вместо CVE-2015-8053). Кроме того, удален CVE-2015-8054, который по ошибке был включен в исходный бюллетень. 

9 декабря 2015 г.: добавлены проблемы CVE-2015-8456 и CVE-2015-8457, которые случайно были исключены из первоначального бюллетеня. 

2 марта 2016 г.: добавлены следующие номера CVE, которые случайно были исключены из первоначальной версии: CVE-2015-8652, CVE-2015-8653, CVE-2015-8654, CVE-2015-8655, CVE-2015-8656, CVE-2015-8657, CVE-2015-8822, CVE-2015-8658, CVE-2015-8820, CVE-2015-8821.  

15 апреля 2016 г.: добавлена проблема CVE-2015-8823, которая случайно была исключена из первоначальной версии. 

3 июня 2016 г.: добавлена благодарность анонимному пользователю, участницу программы HPE Zero Day Initiative за информацию об уязвимости CVE -2015-8416. Об этой проблеме также независимо сообщила Цзе Чжен, Qihoo 360.