Adobe-Sicherheitsbulletin

Freigabedatum: 10. Dezember 2013

Kennung der Sicherheitslücke: APSB13-28

Priorität: Siehe Tabelle unten

CVE-Nummer: CVE-2013-5331, CVE-2013-5332

Plattform: Alle Plattformen

Adobe hat Sicherheitsupdates für Adobe Flash Player 11.9.900.152 und frühere Versionen für Windows und Macintosh sowie für Adobe Flash Player 11.2.202.327 und frühere Versionen für Linux veröffentlicht. Diese Updates beheben Sicherheitslücken, die zum Absturz der Applikation führen und einem Angreifer die Übernahme des betroffenen Systems ermöglichen. Adobe ist ein Exploit für CVE-2013-5331 bekannt, bei dem Anwender zum Öffnen eines Microsoft-Word-Dokuments mit schadhaften Flash-Inhalten (.swf) verleitet werden. In Adobe Flash Player 11.6 und höher sind Maßnahmen gegen diesen Angriff implementiert.

Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:

• Anwendern von Flash Player 11.9.900.152 und früheren Versionen für Windows und Macintosh wird die Aktualisierung auf Adobe Flash Player 11.9.900.170 empfohlen.
• Anwendern von Flash Player 11.2.202.327 und früheren Versionen für Linux wird die Aktualisierung auf Adobe Flash Player 11.2.202.332 empfohlen.
• Die Version von Flash Player 11.9.900.152 in Google Chrome wird automatisch auf Flash Player 11.9.900.170 (Windows, Macintosh und Linux) aktualisiert.
• Die Version von Flash Player 11.9.900.152 in Internet Explorer 10 wird automatisch auf Flash Player 11.9.900.170 für Windows 8.0 aktualisiert
• Die Version von Flash Player 11.9.900.152 in Internet Explorer 11 wird automatisch auf Flash Player 11.9.900.170 für Windows 8.1 aktualisiert.
• Anwendern von Adobe AIR 3.9.0.1210 und früheren Versionen für Windows und Macintosh wird die Aktualisierung auf Adobe AIR 3.9.0.1380 empfohlen.
• Anwendern von Adobe AIR 3.9.0.1210 und früheren Versionen für Android wird die Aktualisierung auf Adobe AIR 3.9.0.1380 empfohlen.
• Anwendern von Adobe AIR-SDK Version 3.9.0.1210 und früheren Versionen wird die Aktualisierung auf Version 3.9.0.1380 empfohlen.
• Anwendern von Adobe AIR-SDK & Compiler Version 3.9.0.1210 und früheren Versionen wird die Aktualisierung auf Adobe AIR-SDK & Compiler Version 3.9.0.1380 empfohlen.

• Adobe Flash Player 11.9.900.152 und frühere Versionen für Windows und Macintosh
• Adobe Flash Player 11.2.202.327 und frühere Versionen für Linux
• Adobe AIR 3.9.0.1210 und frühere Versionen für Windows und Macintosh
• Adobe AIR 3.9.0.1210 und frühere Versionen für Android
• Adobe AIR-SDK 3.9.0.1210 und frühere Versionen
• Adobe AIR-SDK & Compiler 3.9.0.1210 und frühere Versionen

Um die Versionsnummer Ihrer Adobe Flash Player-Installation herauszufinden, öffnen Sie entweder die Info-Seite zu Flash Player oder klicken mit der rechten Maustaste auf einen beliebigen Inhalt im Flash Player und wählen im Kontextmenü den Befehl „Über Adobe (bzw. Macromedia) Flash Player“. Wenn Sie mit mehreren Browsern arbeiten, führen Sie die Prüfung für jeden Browser aus.

Auf Android-Systemen können Sie die Versionsnummer Ihrer Flash Player-Installation unter „Einstellungen“ > „Anwendungen“ > „Anwendungen verwalten“ überprüfen.

Um die Versionsnummer Ihrer Adobe AIR-Installation herauszufinden, befolgen Sie die Anweisungen in der TechNote zu Adobe AIR.

Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:

• Adobe empfiehlt Anwendern von Flash Player 11.9.900.152 und früher für Windows und Macintosh, die neueste Version 11.9.900.170 aus dem Download Center für Flash Player herunterzuladen und zu installieren oder die automatische Aktualisierung vom Produkt aus zu nutzen.
• Anwendern von Flash Player 11.2.202.327 und früheren Versionen für Linux wird die Aktualisierung auf Version 11.2.202.332 empfohlen, die sie aus dem Download Center für Flash Player herunterladen können.
• Für Anwender von Flash Player 11.7.700.252 und früheren Versionen für Windows und Macintosh, die nicht auf Flash Player 11.9.900.170 aktualisieren können, stellt Adobe das Flash Player-Update 11.7.700.257 bereit, das sie hier herunterladen können.

* Hinweis: Seit 9. Juli 2013 wird das „Extended Support Release“ von Flash Player 10.3.x auf Flash Player 11.7.x aktualisiert. Adobe empfiehlt Anwendern die Aktualisierung auf Version 11.7x, damit sie auch in Zukunft wichtige Sicherheits-Updates erhalten. Weitere Informationen finden Sie in diesem Blogbeitrag.

• Die Version von Flash Player 11.9.900.152 in Google Chrome wird automatisch auf Flash Player 11.9.900.170 (Windows, Macintosh und Linux) aktualisiert.
• Die Version von Flash Player 11.9.900.152 in Internet Explorer 10 wird automatisch auf Flash Player 11.9.900.170 für Windows 8.0 aktualisiert
• Die Version von Flash Player 11.9.900.152 in Internet Explorer 11 wird automatisch auf Flash Player 11.9.900.170 für Windows 8.1 aktualisiert.
• Anwendern von Adobe AIR 3.9.0.1210 und früheren Versionen für Windows und Macintosh wird die Aktualisierung auf Adobe AIR 3.9.0.1380 empfohlen.
• Anwendern von Adobe AIR-SDK Version 3.9.0.1210 wird empfohlen, das Update auf Version 3.9.0.1380 zu installieren.
• Anwendern von Adobe AIR-SDK & Compiler Version 3.9.0.1210 und früheren Versionen wird die Aktualisierung auf Adobe AIR-SDK & Compiler Version 3.9.0.1380 empfohlen.
• Anwendern von Adobe AIR 3.9.0.1210 und früheren Versionen für Android wird die Aktualisierung auf Adobe AIR 3.9.0.1380 über Google Play auf einem Android-Gerät empfohlen.

Adobe stuft die Priorität dieses Updates wie folgt ein. Die Installation wird allen Anwendern empfohlen.

Diese Updates beheben kritische Sicherheitslücken in der Software.

Adobe hat Sicherheitsupdates für Adobe Flash Player 11.9.900.152 und frühere Versionen für Windows und Macintosh sowie für Adobe Flash Player 11.2.202.327 und frühere Versionen für Linux veröffentlicht. Diese Updates beheben Sicherheitslücken, die zum Absturz der Applikation führen und einem Angreifer die Übernahme des betroffenen Systems ermöglichen. Adobe ist ein Exploit für CVE-2013-5331 bekannt, bei dem Anwender zum Öffnen eines Microsoft-Word-Dokuments mit schadhaften Flash-Inhalten (.swf) verleitet werden. In Adobe Flash Player 11.6 und höher sind Maßnahmen gegen diesen Angriff implementiert.

Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:

• Anwendern von Flash Player 11.9.900.152 und früheren Versionen für Windows und Macintosh wird die Aktualisierung auf Adobe Flash Player 11.9.900.170 empfohlen.
• Anwendern von Flash Player 11.2.202.327 und früheren Versionen für Linux wird die Aktualisierung auf Adobe Flash Player 11.2.202.332 empfohlen.
• Die Version von Flash Player 11.9.900.152 in Google Chrome wird automatisch auf Flash Player 11.9.900.170 (Windows, Macintosh und Linux) aktualisiert.
• Die Version von Flash Player 11.9.900.152 in Internet Explorer 10 wird automatisch auf Flash Player 11.9.900.170 für Windows 8.0 aktualisiert
• Die Version von Flash Player 11.9.900.152 in Internet Explorer 11 wird automatisch auf Flash Player 11.9.900.170 für Windows 8.1 aktualisiert.
• Anwendern von Adobe AIR 3.9.0.1210 und früheren Versionen für Windows und Macintosh wird die Aktualisierung auf Adobe AIR 3.9.0.1380 empfohlen.
• Anwendern von Adobe AIR 3.9.0.1210 und früheren Versionen für Android wird die Aktualisierung auf Adobe AIR 3.9.0.1380 empfohlen.
• Anwendern von Adobe AIR-SDK Version 3.9.0.1210 und früheren Versionen wird die Aktualisierung auf Version 3.9.0.1380 empfohlen.
• Anwendern von Adobe AIR-SDK & Compiler Version 3.9.0.1210 und früheren Versionen wird die Aktualisierung auf Adobe AIR-SDK & Compiler Version 3.9.0.1380 empfohlen.

Diese Updates schließen eine Sicherheitslücke, die aufgrund einer Typverwechslung entstehen kann und die Ausführung von Code ermöglicht (CVE-2013-5331).

Diese Updates schließen eine Sicherheitslücke, die aufgrund eines beschädigten Speichers entstehen kann und die Ausführung von Code ermöglicht (CVE-2013-5332).

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und den Beitrag zum Schutz der Sicherheit unserer Kunden:

• David D. Rude II von iDefense Labs (CVE-2013-5331)
• Attila Suszter vom Blog Reversing on Windows (CVE-2013-5332)