1. Главная
2. Поддержка
3. Рекомендации по безопасности

Бюллетень безопасности

Обновление безопасности для Adobe Flash Player

Дата выпуска: 10 июня 2010 г.

Последнее обновление: 10 июня 2010 г.

Идентификатор уязвимости: APSB14-10

Номер CVE: CVE-2008-4546, CVE-2009-3793, CVE-2010-1297, CVE-2010-2160, CVE-2010-2161, CVE-2010-2162, CVE-2010-2163, CVE-2010-2164, CVE-2010-2165, CVE-2010-2166, CVE-2010-2167, CVE-2010-2169, CVE-2010-2170, CVE-2010-2171, CVE-2010-2172, CVE-2010-2173, CVE-2010-2174, CVE-2010-2175, CVE-2010-2176, CVE-2010-2177, CVE-2010-2178, CVE-2010-2179, CVE-2010-2180, CVE-2010-2181, CVE-2010-2182, CVE-2010-2183, CVE-2010-2184, CVE-2010-2185, CVE-2010-2186, CVE-2010-2187, CVE-2010-2188, CVE-2010-2189

Платформа: все платформы

Сводка

В Adobe Flash Player 10.0.45.2 и более ранних версий выявлены критические* уязвимости. Эти уязвимости могли привести к аварийному завершению работы приложения и потенциально позволить злоумышленнику получить контроль над уязвимой системой.

Adobe рекомендует пользователям Adobe Flash Player 10.0.45.2 и более ранних версий обновить это программное обеспечение до Adobe Flash Player 10.1.53.64. Adobe рекомендует пользователям Adobe AIR 1.5.3.9130 и более ранних версий обновить это программное обеспечение до Adobe AIR 2.0.2.12610.

Уязвимые версии программного обеспечения

Adobe Flash Player 10.0.45.2 и более ранних версий для Windows, Macintosh, Linux и Solaris
Adobe AIR 1.5.3.9130 и более ранних версий для Windows, Macintosh и Linux

Для получения информации о номере версии Adobe Flash Player, установленной на компьютере, обратитесь к веб-странице «About Flash Player* » или нажмите правой кнопкой мыши контент, загруженный во Flash Player, и выберите в меню «About Adobe (или Macromedia) Flash Player». При использовании нескольких обозревателей эту проверку необходимо провести для каждого из них.

Для получения информации о номере версии Adobe AIR, установленной на компьютере, обратитесь к инструкциям в технических замечаниях Adobe AIR TechNote.

Решение

Adobe Flash Player
Adobe рекомендует всем пользователям Adobe Flash Player 10.0.45.2 и более ранних версий обновить это программное обеспечение до самой последней версии 10.1.53.64, самостоятельно загрузив его с веб-страницы Player Download Center или при получении соответствующего напоминания (функция автоматического обновления продукта).

Чтобы устранить уязвимости, описанные в этом бюллетене безопасности, установите предварительную версию Flash Player 10.1 для платформ Solaris*, которую можно загрузить с веб-портала Adobe Labs.

Пользователи, которым недоступно обновление до Flash Player 10.1.53.64 могут воспользоваться исправленной версией Flash Player 9, Flash Player 9.0.277.0, доступной для загрузки по следующему адресу*.

Adobe AIR
Adobe рекомендует всем пользователям Adobe AIR 1.5.3.9130 и более ранних версий обновить это программное обеспечение до самой последней версии 2.0.2.12610, загрузив ее с веб-портала Центр загрузки Adobe AIR.

Уровень опасности

Adobe классифицирует данную уязвимость как критическую* и рекомендует пользователям обновить уязвимые версии программ до последней версии.

Сведения

В Adobe Flash Player 10.0.45.2 и более ранних версий выявлены критические* уязвимости. Эти уязвимости могли привести к аварийному завершению работы приложения и потенциально позволить злоумышленнику получить контроль над уязвимой системой.

Это обновление устраняет уязвимость, приводящую к повреждению памяти, которая может привести к выполнению кода (CVE-2010-1297).
Примечание. Имеется информация о свободном характере распространения атак с использованием этой уязвимости.

В этом обновлении устранена уязвимость, связанная с нехваткой памяти, которая могла привести к выполнению кода (CVE-2009-3793).

В этом обновлении устранена уязвимость, связанная с повреждением памяти, которая могла привести к выполнению кода (CVE-2010-2160).

В этом обновлении устранена уязвимость, связанная с индексацией, которая могла привести к выполнению кода (CVE-2010-2161).

В этом обновлении устранена уязвимость, связанная с повреждением хипа, которая могла привести к выполнению кода (CVE-2010-2162).

В этом обновлении устранены различные уязвимости, которые могли привести к выполнению кода (CVE-2010-2163).

В этом обновлении устранена уязвимость, связанная с использованием освобожденной памяти, которая могла привести к выполнению кода (CVE-2010-2164).

В этом обновлении устранена уязвимость, связанная с повреждением памяти, которая могла привести к выполнению кода (CVE-2010-2165).

В этом обновлении устранена уязвимость, связанная с повреждением памяти, которая могла привести к выполнению кода (CVE-2010-2166).

В этом обновлении устранены различные уязвимости, связанные с переполнением хипа, которые могли привести к выполнению кода (CVE-2010-2167).

В этом обновлении устранена проблема, связанная с повреждением памяти для указателя, которая могла привести к выполнению кода (CVE-2010-2169).

В этом обновлении устранена уязвимость, связанная с целочисленным переполнением, которая могла привести к выполнению кода (CVE-2010-2170).

В этом обновлении устранена уязвимость, связанная с повреждением памяти, которая могла привести к выполнению кода (CVE-2010-2171).

В этом обновлении исправлена проблема отказа в обслуживании на некоторых платформах UNIX (только для Flash Player 9) (CVE-2010-2172).

В этом обновлении устранена уязвимость, связанная с неверным указателем, которая могла привести к выполнению кода (CVE-2010-2173).

В этом обновлении устранена уязвимость, связанная с неверным указателем, которая могла привести к выполнению кода (CVE-2010-2174).

В этом обновлении устранена уязвимость, связанная с повреждением памяти, которая могла привести к выполнению кода (CVE-2010-2175).

В этом обновлении устранена уязвимость, связанная с повреждением памяти, которая могла привести к выполнению кода (CVE-2010-2176).

В этом обновлении устранена уязвимость, связанная с повреждением памяти, которая могла привести к выполнению кода (CVE-2010-2177).

В этом обновлении устранена уязвимость, связанная с повреждением памяти, которая могла привести к выполнению кода (CVE-2010-2178).

В этом обновлении устранена уязвимость, связанная с анализом URL-ссылок, которая могла привести к «межсайтовому выполнению сценариев» (cross-site scripting) (только для браузеров Firefox и Chrome) (CVE-2010-2179).

В этом обновлении устранена уязвимость, связанная с повреждением памяти, которая могла привести к выполнению кода (CVE-2010-2180).

В этом обновлении устранена уязвимость, связанная с целочисленным переполнением, которая могла привести к выполнению кода (CVE-2010-2181).

В этом обновлении устранена уязвимость, связанная с повреждением памяти, которая могла привести к выполнению кода (CVE-2010-2182).

В этом обновлении устранена уязвимость, связанная с целочисленным переполнением, которая могла привести к выполнению кода (CVE-2010-2183).

В этом обновлении устранена уязвимость, связанная с повреждением памяти, которая могла привести к выполнению кода (CVE-2010-2184).

В этом обновлении исправлена проблема переполнения буфера, которая могла привести к выполнению кода (CVE-2010-2185).

В этом обновлении исправлена проблема отказа в обслуживании, которая могла привести к аварийному завершению работы программы. Выполнение произвольного кода не демонстрировалось, но потенциально возможно. (CVE-2010-2186).

В этом обновлении устранена уязвимость, связанная с повреждением памяти, которая могла привести к выполнению кода (CVE-2010-2187).

В этом обновлении устранена уязвимость, связанная с повреждением памяти, которая могла привести к выполнению кода (CVE-2010-2188).

В этом обновлении устранена уязвимость, связанная с повреждением памяти, которая могла привести к выполнению кода (CVE-2010-2189).
Примечание. Эта проблема возникает только на системах VMWare с разрешенным приложением VMWare Tools.

В этом обновлении исправлена проблема отказа в обслуживании (CVE-2008-4546).

Adobe рекомендует пользователям Adobe Flash Player 10.0.45.2 и более ранних версий обновить это программное обеспечение до Adobe Flash Player 10.1.53.64. Adobe рекомендует пользователям Adobe AIR 1.5.3.9130 и более ранних версий обновить это программное обеспечение до Adobe AIR 2.0.2.12610.

Уязвимое программное обеспечение	Рекомендуемое обновление проигрывателя	Доступность
Flash Player 10.0.45.2 и более ранние версии	10.1.53.64	Flash Player Download Center
Flash Player 10.0.45.2 и более ранние версии — распределение по сети	10.1.53.64	Лицензирование Flash Player
AIR 1.5.3.9130	AIR 2.0.2.12610	Центр загрузки AIR
Flash Professional CS5, Flash CS4 Professional и Flex 4	10.1.53.64	Центр поддержки Flash Player*
Flash CS3 Professional и Flex 3	9.0.277.0	Центр поддержки Flash Player*

 

Примечание. Выпуск Adobe Flash Player 10.1.53.64 является последним из выпусков, поддерживающих компьютеры Macintosh G3 на основе PowerPC. После выпуска Flash Player 10.1.53.64 Adobe прекратит поддержку компьютеров G3 на основе PowerPC и не будет выпускать обновления безопасности. Такое прекращение поддержки объясняется улучшением функций производительности, которые не могут быть реализованы на PowerPC с более старой архитектурой.

Благодарности

Adobe приносит благодарность следующим людям и организациям за сообщение о релевантных проблемах и за помощь Adobe в обеспечении защиты наших клиентов:

• Вилу Дорману (Will Dormann), CERT*(CVE-2010-1297, CVE-2010-2163)
• Lockheed Martin CIRT*, Участники Defense Security Information Exchange (DSIE) (CVE-2010-1297)
• Ральфу Лоадеру (Ralph Loader) из Innaworks Development Limited* (CVE-2009-3793)
• Анонимному пользователю и Дионисусу Блазакису (Dionysus Blazakis), сообщившим о проблеме через программу Zero Day Initiative компании TippingPoint* (CVE-2010-2160)
• Анонимному пользователю, сообщившему о проблеме в рамках программы Vulnerability Contributor Program компании iDefense* (CVE-2010-2161)
• Дамиану Пату (Damian Put), сообщившему о проблеме через программу Zero Day Initiative компании TippingPoint* (CVE-2010-2162, CVE-2010-2188)
• Анонимному пользователю, сообщившему о проблеме в рамках программы Vulnerability Contributor Program компании iDefense* (CVE-2010-2164)
• Мегуми Янагишита (Megumi Yanagishita) из Palo Alto Networks Inc.* (CVE-2010-2165)
• Бинг Лиу (Bing Liu) из Fortinet's FortiGuard Labs* (CVE-2010-2163, CVE-2010-2166)
• Николасу Джоли (Nicolas Joly) из команды разработчиков защиты от уязвимостей VUPEN* (-2167, CVE-2010-, CVE-2010-2173, CVE-2010-2174)
• Мануелу Кабалеро* и Microsoft Vulnerability Research (MSVR)* (CVE-2010-2169)
• Тиелей Вангу (Tielei Wang) из ICST-ERCIS (Центр технических исследований информационной безопасности (Engineering Research Center of Info Security), Институт вычислительной техники и технологий (Institute of Computer Science & Technology), Пекинский университет / Китай) (-2010-, CVE-2170)
• Анонимному пользователю и Тиелей Вангу (Tielei Wang), из ICST-ERCIS, Пекинский университет, сообщившему о проблеме через программу Zero Day Initiative компании TippingPoint* (CVE-2010-2171)
• Отчет, отправленный командой Red Hat Security Response Team* (CVE-2010-2172)
• Бо Ку (Bo Qu) из Palo Alto Networks* (CVE-2010-2175, CVE-2010-2176, CVE-2010-2177, CVE-2010-2178)
• Эзио Ансельмо Мазарим Фернандесу (Ezio Anselmo Mazarim Fernandes) (CVE-2010-2179)
• Хайфей Ли (Haifei Li) из Fortinet's FortiGuard Labs* (CVE-2010-2189)
• Тавису Орманди (Tavis Ormandy) из Google Security Team* (CVE-2010-2163, CVE-2010-2180, CVE-2010-2181, CVE-2010-2182, CVE-2010-2183, CVE-2010-2184, CVE-2010-2185, CVE-2010-2186, CVE-2010-2187).

Редакции

10 июня 2010 г. - Обновлен раздел Благодарности: добавлены Lockheed Martin CIRT и участники Defense Security Information Exchange.
10 июня 2010 г. - Бюллетень выпущен.