Data de divulgação:dezembro 18, 2007
Identificador de vulnerabilidade: APSB07-20
Número CVE: CVE-2007-6242, CVE-2007- 4768, CVE-2007-5275, CVE-2007- 6243, CVE-2007- 6244, CVE-2007- 6245, CVE-2007-4324, CVE-2007- 6246, CVE-2007-5476
Plataforma: todas as plataformas
Versões de software afetadas: Adobe Flash Player 9.0.48.0 e versões anteriores, 8.0.35.0 e versões anteriores, e 7.0.70.0 e versões anteriores.
Foram identificadas vulnerabilidades críticas no Adobe Flash Player que poderiam permitir que um invasor conseguisse explorá-las para assumir o controle do sistema afetado. Um arquivo SWF malicioso pode ser carregado pelo usuário no Flash Player para que o invasor possa explorar essas vulnerabilidades. É recomendável que os usuários atualizem para a versão mais recente do Flash Player disponível para suas plataformas.
Adobe Flash Player 9.0.48.0 e versões anteriores, 8.0.35.0 e versões anteriores, e 7.0.70.0 e versões anteriores.
Para verificar o número de versão do Adobe Flash Player acesse a página Sobre o Flash Player ou clique com o botão direito do mouse no conteúdo Flash e selecione “Sobre o Adobe (ou Macromedia) Flash Player” a partir do menu. Se você usar vários navegadores, faça uma verificação em todos que estiverem instalados no seu sistema.
A Adobe recomenda que todos os usuários do Adobe Flash Player 9.0.48.0 e versões anteriores atualizem para a versão mais recente 9.0.115.0 (Win, Mac, Linux), efetuando download a partir do Centro de download do Player ou, quando solicitado, usando o mecanismo de atualização automática no produto.
Para clientes que não podem atualizar para o Adobe Flash Player 9, a Adobe desenvolveu uma versão patched do Flash Player 7. Consulte a nota técnica sobre a atualização do Flash Player*
A Adobe considera ser esta uma atualização crítica* e recomenda aos usuários afetados atualizar para a versão 9.0.115.0 (Win, Mac, Linux).
Foram identificados diversos erros de validação de entrada no Flash Player 9.0.48.0 e em versões anteriores que poderiam levar à execução de código arbitrário. Essas vulnerabilidades poderiam ser acessadas através do conteúdo fornecido por um local remoto através do navegador da Web, do cliente de e-mail ou de outros aplicativos do usuário que incluem ou fazem referência ao Flash Player. (CVE-2007- 4768, CVE-2007-6242)
Esta atualização introduz recursos para minimizar um possível problema que poderia auxiliar um invasor a executar um ataque de religação DNS. Para obter mais informações, consulte o seguinte artigo no Adobe Developer Center*. (CVE-2007-5275)
Esta atualização introduz um novo método mais rígido para que o Flash Player interprete os arquivos de diretiva nos domínios. Essas alterações podem ajudar a impedir ataques de escala de privilégio contra servidores web hospedando conteúdo Flash e arquivos de diretiva nos domínios. Para obter mais informações, consulte o seguinte artigo no Adobe Developer Center*. (CVE-2007- 6243)
Esta atualização restringe o protocolo asfunction: incompatível de solucionar potenciais problemas de script entre os sites com alguns arquivos SWF. Esse problema é específico para Flash Player 8 e Flash Player 9 e não afeta o Flash Player 7. (CVE-2007-6244)
Esta atualização faz alterações na função navigateToURL para impedir possíveis ataques de script universal entre os sites. Esse problema é específico do Flash Player ActiveX Control e do navegador Internet Explorer. (CVE-2007-6244)
Esta atualização resolve um problema que poderia permitir que invasores remotos modificassem cabeçalhos HTTP de solicitações de clientes e realizassem ataques de divisão de solicitação HTTP. (CVE-2007-6245)
Esta atualização introduz funcionalidade para reduzir um possível problema de verificação de porta. Para obter mais informações, consulte o seguinte Artigo da base de conhecimento*. (CVE-2007-4324)
A atualização do Linux para Flash Player soluciona um problema de permissão de memória que poderia levar à escala de privilégios. (CVE-2007-6246)
A atualização do Mac para Flash Player soluciona o problema com o Flash Player originariamente relatado pelo Opera e descrito no Informe de segurança APSA07-05. (CVE-2007-5476)
| Software afetado | Atualização recomendada do Player | Disponibilidade |
|---|---|---|
| Flash Player 9.0.48.0 e versões anteriores | 9.0.115.0 | Centro de download do Player |
| Flash Player 9.0.48.0 e versões anteriores - distribuição em rede | 9.0.115.0 | Licenciamento do Player* |
| Flash CS3 Professional | 9.0.115.0 | Atualização do Flash Player 9 para Flash CS3 Professional* |
| Flash Player 9.0.48.0 e versões anteriores para Linux | 9.0.115.0 | Centro de download do Player |
| Flex 2.0 | 9.0.115.0 | Updater do Player para depuração do Flash* |
Com esse boletim de segurança, o Adobe está retirando o suporte ao Adobe Flash Player 7 e não fornecerá mais atualizações de segurança para o Flash Player 7 depois deste lançamento. A política de suporte da Adobe* para o Adobe Flash Player é oferecer suporte ao principal lançamento atual e anterior. O Flash Player 7 foi previamente atualizado com as correções de segurança, como cortesia para os clientes, nos sistemas operacionais Microsoft Windows 95, Microsoft Windows /NT e Macintosh Classic lançados com a versão Flash Player 8 em setembro de 2005, e para os clientes Linux e Solaris antes da disponibilização do Flash Player 9. Os usuários que desejarem continuar usando o Adobe Flash Player 7 podem utilizar instaladores arquivos no Archived Flash Player Technote*.
A Adobe gostaria de agradecer a Tavis Ormandy e a Will Drewry da Equipe de segurança da Google* por relatar erros de validação de entrada e por trabalhar conosco para protegermos a segurança de nossos clientes em comum. (CVE-2007- 4768)
A Adobe gostaria de agradecer a Aaron Portnoy da TippingPoint DVLabs* por relatar um erro de validação de entrada e por trabalhar conosco para protegermos a segurança de nossos clientes em comum. (CVE-2007-6242)
A Adobe gostaria de agradecer a Dan Boneh, Adam Barth, Andrew Bortz, Collin Jackson e Weidong Shao da Stanford University* por relatarem o problema de DNS Arebinding e por trabalhar conosco para protegermos a segurança de nossos clientes em comum. (CVE-2007-5275)
A Adobe gostaria de agradecer a Toshiharu Sugiyama da UBsecure, Inc.* e a JPCERT/CC* por relatar o problema de arquivo de política entre os domínios e do cabeçalho HTTP, bem como por trabalhar conosco para protegermos a segurança de nossos clientes em comum. (CVE-2007- 6243, CVE-2007- 6245)
A Adobe gostaria de agradecer a Rich Cannings da Equipe de segurança da Google* por relatar o problema de asfunction: e por trabalhar conosco para protegermos a segurança de nossos clientes em comum. (CVE-2007- 6244)
A Adobe gostaria de agradecer a Collin Jackson e a Adam Barth da Stanford University* por relatarem o problema de navigateToURL e por trabalharem conosco para protegermos a segurança de nossos clientes em comum. (CVE-2007- 6244)
A Adobe gostaria de agradecer a Jesse Michael e a Thomas Biege da SUSE* por relatarem os problemas de escala de privilégio com a versão Linux e por trabalharem conosco para protegermos a segurança de nossos clientes em comum. (CVE-2007-6246)
A Adobe gostaria de agradecer ao Opera* por relatar o problema com a versão Mac do Flash Player e por trabalhar conosco a fim de ajudar a proteger a segurança dos nossos clientes. (CVE-2007-5476)
Ao usar software da Adobe Systems Incorporated ou de suas subsidiárias ("Adobe"), você concorda com os termos e condições a seguir. Se você não concordar com os termos e condições, não use o software. Os termos do contrato de licença do usuário final que acompanham um determinado arquivo de software obtido mediante a instalação ou o download do software substituem os termos abaixo.
A exportação e reexportação de produtos de software da Adobe são controladas pelas Normas de Administração de Exportação dos Estados Unidos, e tal software não pode ser exportado ou reexportado para Cuba, Irã, Iraque, Líbia, Coréia do Norte, Sudão ou Síria nem para qualquer país com embargo por parte dos Estados Unidos. Além disso, o software da Adobe não pode ser distribuído para pessoas cujos nomes estão na Tabela de Ordens de Proibição e Recusa, na Lista de Entidades ou na Lista de Cidadãos com Designações Especiais.
Ao fazer download ou usar um produto de software da Adobe, você está assegurando que não é cidadão de Cuba, Irã, Iraque, Líbia, Coréia do Norte, Sudão ou Síria ou de nenhum país que sofre embargo por parte dos Estados Unidos e que seu nome não consta na Tabela de Ordens de Proibição e Recusa, na Lista de Entidades ou na Lista de Cidadãos com Designações Especiais.
Se o software for designado para uso com um produto de software aplicativo (o "Aplicativo Host") publicado pela Adobe, a Adobe concederá uma licença não-exclusiva de uso de tal software somente com o Aplicativo Host, desde que você possua uma licença válida da Adobe para o Aplicativo Host. Com exceção do estabelecido abaixo, tal software é licenciado a você conforme os termos e condições do Contrato de Licença do Usuário Final da Adobe que rege o uso do Aplicativo Host.
ISENÇÃO DE RESPONSABILIDADE POR GARANTIAS: VOCÊ CONCORDA QUE A ADOBE NÃO OFERECE GARANTIAS EXPRESSAS QUANTO AO SOFTWARE E QUE O SOFTWARE ESTÁ SENDO FORNECIDO A VOCÊ "COMO ESTÁ", SEM GARANTIAS DE QUALQUER TIPO. A ADOBE SE ISENTA DE QUALQUER RESPONSABILIDADE POR TODAS AS GARANTIAS REFERENTES AO SOFTWARE, SEJAM EXPRESSAS OU IMPLÍCITAS, INCLUINDO, SEM LIMITAÇÕES, GARANTIAS IMPLÍCITAS DE ADEQUAÇÃO PARA UMA FINALIDADE ESPECÍFICA, COMERCIABILIDADE, QUALIDADE NEGOCIÁVEL OU NÃO-VIOLAÇÃO DE DIREITOS DE TERCEIROS. Alguns estados ou jurisdições não permitem a exclusão de garantias implícitas, por isso talvez as limitações acima não se apliquem a você.
LIMITE DE RESPONSABILIDADE: EM HIPÓTESE ALGUMA A ADOBE SERÁ RESPONSÁVEL POR QUALQUER PERDA DE USO OU INTERRUPÇÃO NOS NEGÓCIOS OU POR QUAISQUER DANOS DIRETOS, INDIRETOS, ESPECIAIS, ACIDENTAIS OU CONSEQÜENTES DE QUALQUER TIPO (INCLUINDO LUCROS CESSANTES), INDEPENDENTEMENTE DA FORMA DA AÇÃO, SEJA EM CONTRATO, ILÍCITO CIVIL (INCLUINDO NEGLIGÊNCIA), RESPONSABILIDADE ESTRITA PELO PRODUTO OU DE OUTRA FORMA, MESMO QUE A ADOBE TENHA SIDO NOTIFICADA SOBRE A POSSIBILIDADE DE TAIS DANOS. Alguns estados ou jurisdições não permitem a exclusão ou limitação de danos acidentais ou conseqüentes, por isso talvez a limitação ou exclusão acima não se aplique a você.
29 de janeiro de 2008 Boletim de segurança atualizado devido à disponibilização da versão do Solaris
18 de dezembro de 2007 Data de criação do Boletim de segurança
| Software afetado | Atualização recomendada do Player | Disponibilidade |
|---|---|---|
| Flash Player 9.0.48.0 e versões anteriores | 9.0.115.0 | Centro de download do Player |
| Flash Player 9.0.48.0 e versões anteriores - distribuição em rede | 9.0.115.0 | Licenciamento do Player* |
| Flash CS3 Professional | 9.0.115.0 | Atualização do Flash Player 9 para Flash CS3 Professional* |
| Flash Player 9.0.48.0 e versões anteriores para Linux | 9.0.115.0 | Centro de download do Player |
| Flex 2.0 | 9.0.115.0 | Updater do Player para depuração do Flash* |
Com esse boletim de segurança, o Adobe está retirando o suporte ao Adobe Flash Player 7 e não fornecerá mais atualizações de segurança para o Flash Player 7 depois deste lançamento. A política de suporte da Adobe* para o Adobe Flash Player é oferecer suporte ao principal lançamento atual e anterior. O Flash Player 7 foi previamente atualizado com correções de segurança como uma cortesia para os clientes dos sistemas operacionais Microsoft Windows 95, Microsoft Windows /NT e Macintosh Classic, que não são mais compatíveis com o lançamento do Flash Player 8 em setembro de 2005 e para os clientes do Linux e Solaris antes da disponibilidade do Flash Player 9. Os usuários que desejarem continuar usando o Adobe Flash Player 7 podem utilizar instaladores arquivos no Archived Flash Player Technote*.
A Adobe gostaria de agradecer a Tavis Ormandy e a Will Drewry da Equipe de segurança da Google* por relatar erros de validação de entrada e por trabalhar conosco para protegermos a segurança de nossos clientes em comum. (CVE-2007- 4768)
A Adobe gostaria de agradecer a Aaron Portnoy da TippingPoint DVLabs* por relatar um erro de validação de entrada e por trabalhar conosco para protegermos a segurança de nossos clientes em comum. (CVE-2007-6242)
A Adobe gostaria de agradecer a Dan Boneh, Adam Barth, Andrew Bortz, Collin Jackson e Weidong Shao da Stanford University* por relatarem o problema de DNS Arebinding e por trabalhar conosco para protegermos a segurança de nossos clientes em comum. (CVE-2007-5275)
A Adobe gostaria de agradecer a Toshiharu Sugiyama da UBsecure, Inc*. e a JPCERT/CC* por relatar o problema de arquivo de política entre os domínios e do cabeçalho HTTP, bem como por trabalhar conosco para protegermos a segurança de nossos clientes em comum. (CVE-2007- 6243, CVE-2007- 6245)
A Adobe gostaria de agradecer a Rich Cannings da Equipe de segurança da Google* por relatar o problema de asfunction: e por trabalhar conosco para protegermos a segurança de nossos clientes em comum. (CVE-2007- 6244)
A Adobe gostaria de agradecer a Collin Jackson e a Adam Barth da Stanford University* por relatarem o problema de navigateToURL e por trabalharem conosco para protegermos a segurança de nossos clientes em comum. (CVE-2007- 6244)
A Adobe gostaria de agradecer a Jesse Michael e a Thomas Biege da SUSE* por relatarem os problemas de escala de privilégio com a versão Linux e por trabalharem conosco para protegermos a segurança de nossos clientes em comum. (CVE-2007-6246)
A Adobe gostaria de agradecer ao Opera* por relatar o problema com a versão Mac do Flash Player e por trabalhar conosco a fim de ajudar a proteger a segurança dos nossos clientes. (CVE-2007-5476)
Ao usar software da Adobe Systems Incorporated ou de suas subsidiárias ("Adobe"), você concorda com os termos e condições a seguir. Se você não concordar com os termos e condições, não use o software. Os termos do contrato de licença do usuário final que acompanham um determinado arquivo de software obtido mediante a instalação ou o download do software substituem os termos abaixo.
A exportação e reexportação de produtos de software da Adobe são controladas pelas Normas de Administração de Exportação dos Estados Unidos, e tal software não pode ser exportado ou reexportado para Cuba, Irã, Iraque, Líbia, Coréia do Norte, Sudão ou Síria nem para qualquer país com embargo por parte dos Estados Unidos. Além disso, o software da Adobe não pode ser distribuído para pessoas cujos nomes estão na Tabela de Ordens de Proibição e Recusa, na Lista de Entidades ou na Lista de Cidadãos com Designações Especiais.
Ao fazer download ou usar um produto de software da Adobe, você está assegurando que não é cidadão de Cuba, Irã, Iraque, Líbia, Coréia do Norte, Sudão ou Síria ou de nenhum país que sofre embargo por parte dos Estados Unidos e que seu nome não consta na Tabela de Ordens de Proibição e Recusa, na Lista de Entidades ou na Lista de Cidadãos com Designações Especiais.
Se o software for designado para uso com um produto de software aplicativo (o "Aplicativo Host") publicado pela Adobe, a Adobe concederá uma licença não-exclusiva de uso de tal software somente com o Aplicativo Host, desde que você possua uma licença válida da Adobe para o Aplicativo Host. Com exceção do estabelecido abaixo, tal software é licenciado a você conforme os termos e condições do Contrato de Licença do Usuário Final da Adobe que rege o uso do Aplicativo Host.
ISENÇÃO DE RESPONSABILIDADE POR GARANTIAS: VOCÊ CONCORDA QUE A ADOBE NÃO OFERECE GARANTIAS EXPRESSAS QUANTO AO SOFTWARE E QUE O SOFTWARE ESTÁ SENDO FORNECIDO A VOCÊ "COMO ESTÁ", SEM GARANTIAS DE QUALQUER TIPO. A ADOBE SE ISENTA DE QUALQUER RESPONSABILIDADE POR TODAS AS GARANTIAS REFERENTES AO SOFTWARE, SEJAM EXPRESSAS OU IMPLÍCITAS, INCLUINDO, SEM LIMITAÇÕES, GARANTIAS IMPLÍCITAS DE ADEQUAÇÃO PARA UMA FINALIDADE ESPECÍFICA, COMERCIABILIDADE, QUALIDADE NEGOCIÁVEL OU NÃO-VIOLAÇÃO DE DIREITOS DE TERCEIROS. Alguns estados ou jurisdições não permitem a exclusão de garantias implícitas, por isso talvez as limitações acima não se apliquem a você.
LIMITE DE RESPONSABILIDADE: EM HIPÓTESE ALGUMA A ADOBE SERÁ RESPONSÁVEL POR QUALQUER PERDA DE USO OU INTERRUPÇÃO NOS NEGÓCIOS OU POR QUAISQUER DANOS DIRETOS, INDIRETOS, ESPECIAIS, ACIDENTAIS OU CONSEQÜENTES DE QUALQUER TIPO (INCLUINDO LUCROS CESSANTES), INDEPENDENTEMENTE DA FORMA DA AÇÃO, SEJA EM CONTRATO, ILÍCITO CIVIL (INCLUINDO NEGLIGÊNCIA), RESPONSABILIDADE ESTRITA PELO PRODUTO OU DE OUTRA FORMA, MESMO QUE A ADOBE TENHA SIDO NOTIFICADA SOBRE A POSSIBILIDADE DE TAIS DANOS. Alguns estados ou jurisdições não permitem a exclusão ou limitação de danos acidentais ou conseqüentes, por isso talvez a limitação ou exclusão acima não se aplique a você.
