Обновления системы безопасности для Flash Player | APSB18-19
Идентификатор бюллетеня Дата публикации Приоритет
APSB18-19 7 июня 2018 1

Сводка

Компания Adobe выпустила обновления системы безопасности Adobe Flash Player для Windows, macOS, Linux и ChromeOS.В этих обновлениях устранены критические уязвимости в Adobe Flash Player 29.0.0.171 и более ранних версий.  При успешном использовании эта уязвимость могла привести к выполнению произвольного кода в контексте текущего пользователя.

Компании Adobe известно об отчете, в котором указано, что существует уязвимость CVE-2018-5002, используемая для проведения ограниченного числа целенаправленных атак в отношении пользователей Windows. Эти атаки используют документы Office со встроенным вредоносным контентом Flash Player, распространяемым по электронной почте.

Затрагиваемые версии продуктов

Продукт Версия Платформа
Настольная среда выполнения Adobe Flash Player 29.0.0.171 и более ранние версии Windows, macOS и Linux
Adobe Flash Player для Google Chrome 29.0.0.171 и более ранние версии Windows, macOS, Linux и Chrome OS 
Adobe Flash Player для Microsoft Edge и Internet Explorer 11 29.0.0.171 и более ранние версии Windows 10 и 8.1

Для получения информации о версии Adobe Flash Player, установленной на компьютере, обратитесь к странице О приложении Flash Player или щелкните правой кнопкой мыши контент, загруженный во Flash Player, и выберите в меню «О программе Adobe (или Macromedia) Flash Player». При использовании нескольких браузеров эту проверку необходимо провести для каждого из них.

Решение

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий.

Продукт Версия Платформа Приоритет Доступность
Настольная среда выполнения Adobe Flash Player 30.0.0.113 Windows, macOS 1

Центр загрузки Flash Player

Дистрибутив Flash Player

Adobe Flash Player для Google Chrome 30.0.0.113 Windows, macOS, Linux и Chrome OS  1
Выпуски Google Chrome
Adobe Flash Player для Microsoft Edge и Internet Explorer 11 30.0.0.113 Windows 10 и 8.1 1
Советы корпорации Майкрософт по безопасности
Настольная среда выполнения Adobe Flash Player 30.0.0.113 Linux 3 Центр загрузки Flash Player

Примечание.

  • Компания Adobe рекомендует пользователям настольной среды выполнения Adobe Flash Player для Windows, macOS и Linux обновить программное обеспечение до версии Adobe Flash Player 30.0.0.113 с помощью функции обновления продукта [1] или посетив центр загрузки Adobe Flash Player.
  • Приложение Adobe Flash Player, установленное вместе с Google Chrome, будет обновлено автоматически до последней версии браузера Google Chrome, которая будет включать Adobe Flash Player 30.0.0.113 для Windows, macOS, Linux и Chrome OS.
  • Приложение Adobe Flash Player, установленное вместе с Microsoft Edge и Internet Explorer 11 для Windows 10 и 8.1, будет обновлено автоматически до последней версии, которая будет включать Adobe Flash Player 30.0.0.113.
  • Посетите страницу справки Flash Player для получения информации по установке Flash Player.

[1] Пользователи, которые выбрали параметр "Разрешить компании Adobe загрузку обновлений", получат обновление автоматически. Пользователи, которые не задали обновление без уведомлений, могут также установить обновление с помощью средства обновлений, встроенного в продукт, после появления соответствующего напоминания.

Сведения об уязвимости

Категория уязвимости Влияние уязвимости Серьезность Номер CVE
Несоответствие используемых типов данных Выполнение произвольного кода Критическая CVE-2018-4945
Переполнение целочисленного значения
Раскрытие информации
Важная
CVE-2018-5000
Чтение за пределами буфера
Раскрытие информации
Важная
CVE-2018-5001
Переполнение буфера в стеке
Выполнение произвольного кода
Критическая CVE-2018-5002

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о существенных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:

  • Цзихуэй Лу, Tencent KeenLab иwillJTencent PC Manager, участник программы Trend Micro Zero Day Initiative (CVE-2018-4945)

  • Анонимный пользователь, сообщивший о проблеме в рамках программы Trend Micro Zero Day Initiative (CVE-2018-5000, CVE-2018-5001)

  • Информация об уязвимости CVE-2018-5002 была предоставлена следующими организациями и частными лицами: Чэньмин Сюй и Джейсон Джонс,ICEBRG, Бай Хаовен, Цзэн Хайтао и Хуан Чаовэнь, 360 Threat Intelligence Center, 360 Enterprise Security Group, и Янг Канг, Ху Цзян, Чжан Цин и Цзинь Цюань, Qihoo 360 Core Security (@360CoreSec), Tencent PC Manager (http://guanjia.qq.com/