CH azonosító
CH-13102Angol cím
Adobe Flash Player vulnerabilityFelfedezés dátuma
2016.03.13.Súlyosság
KritikusÉrintett rendszerek
AdobeFlash Player 11.x
Flash Player 18.x
Érintett verziók
Adobe Flash Player Desktop Runtime 20.0.0.306 és korábbi verziók (Windows, Macintosh)
Adobe Flash Player Extended Support Release 18.0.0.329 és korábbi verziók (Windows, Mac)
Adobe Flash Player for Google Chrome 20.0.0.306 és korábbi verziók (Windows, Mac, Linux, ChromeOS)
Adobe Flash Player for Microsoft Edge és Internet Explorer 11 20.0.0.306 és korábbi verziók (Windows 10)
Adobe Flash Player for Internet Explorer 11 20.0.0.306 és korábbi verziók (Windows 8.1)
Adobe Flash Player for Linux 11.2.202.569 és korábbi verziók (Linux)
AIR Desktop Runtime 20.0.0.260 és korábbi verziók (Windows és Macintosh)
AIR SDK 20.0.0.260 és korábbi verziók (Windows, Macintosh, Android, iOS)
AIR SDK & Compiler 20.0.0.260 és korábbi verziók (Windows, Mac, Android, iOS)
AIR for Android 20.0.0.233 és korábbi verziók (Android)
Összefoglaló
Az Adobe Flash Player egy jelentős biztonsági frissítést kapott, melynek révén olyan sérülékenységeket lehet orvosolni, amelyek jogosulatlan távoli kódfuttatásra és rendszerhozzáférésre is módot adhatnak.
Leírás
A sérülékenységek speciálisan szerkesztett Flash tartalmakkal válhatnak kihasználhatóvá. A támadók ezeket a tartalmakat weboldalakon keresztül is megoszthatják, majd azt kell elérniük, hogy a felhasználó meglátogasson egy ilyen kártékony weblapot.
A sérülékenységek többsége puffertúlcsordulási hibát idézhet elő, ami tetszőleges kódokkal történő visszaélésekre adhat lehetőséget.
Az egyik sérülékenység (CVE-2016-1010) esetében a Kaspersky Lab csekély számú, de aktív kihasználásról adott jelzést.
Megoldás
Az alábbi verziókra történő frissítés:
21.0.0.182
ESR 18.0.0.333
11.2.202.577 (Linux)
A frissítés Microsoft Windows RT 8.1 és Windows 10 alatt futtatott Microsoft Edge és Internet Explorer 11, illetve Google Chrome kapcsán érhető el automatikusan (Windows esetében amennyiben az automatikus frissítés engedélyezett).
Minden egyéb esetben manuálisan szükséges elvégezni a telepítést az Adobe Flash Player Download Center–en keresztül!
Támadás típusa
Security bypass (Biztonsági szabályok megkerülése)System access (Rendszer hozzáférés)
execute arbitrary code
execute code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Gyártói referencia: helpx.adobe.com
Egyéb referencia: arstechnica.com
Egyéb referencia: technet.microsoft.com
CVE-2016-0960 - NVD CVE-2016-0960
CVE-2016-0961 - NVD CVE-2016-0961
CVE-2016-0962 - NVD CVE-2016-0962
CVE-2016-0963 - NVD CVE-2016-0963
CVE-2016-0986 - NVD CVE-2016-0986
CVE-2016-0987 - NVD CVE-2016-0987
CVE-2016-0988 - NVD CVE-2016-0988
CVE-2016-0989 - NVD CVE-2016-0989
CVE-2016-0990 - NVD CVE-2016-0990
CVE-2016-0991 - NVD CVE-2016-0991
CVE-2016-0992 - NVD CVE-2016-0992
CVE-2016-0993 - NVD CVE-2016-0993
CVE-2016-0994 - NVD CVE-2016-0994
CVE-2016-0995 - NVD CVE-2016-0995
CVE-2016-0996 - NVD CVE-2016-0996
CVE-2016-0997 - NVD CVE-2016-0997
CVE-2016-0998 - NVD CVE-2016-0998
CVE-2016-0999 - NVD CVE-2016-0999
CVE-2016-1000 - NVD CVE-2016-1000
CVE-2016-1001 - NVD CVE-2016-1001
CVE-2016-1002 - NVD CVE-2016-1002
CVE-2016-1005 - NVD CVE-2016-1005
CVE-2016-1010 - NVD CVE-2016-1010