Sicherheits-Updates für Adobe Flash Player

Freigabedatum: 12. August 2014

Letzte Aktualisierung: 20. August 2014

Kennung der Sicherheitslücke: APSB14-18

Priorität: Siehe Tabelle unten

CVE-Nummern: CVE-2014-0538, CVE-2014-0540, CVE-2014-0541, CVE-2014-0542, CVE-2014-0543, CVE-2014-0544, CVE-2014-0545, CVE-2014-5333

Plattform: Alle Plattformen

Zusammenfassung

Adobe hat Sicherheitsupdates für Adobe Flash Player 14.0.0.145 und frühere Versionen für Windows und Macintosh sowie für Adobe Flash Player 11.2.202.394 und frühere Versionen für Linux veröffentlicht. Diese Updates beheben Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen. Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:

  • Anwendern des Adobe Flash Player Active X-Plug-Ins für Internet Explorer 14.0.0.145 und früher wird die Aktualisierung auf Adobe Flash Player 14.0.0.176 empfohlen.
  • Anwendern des Adobe Flash Player Windows NPAPI-Plug-Ins für Firefox 14.0.0.145 und früher wird die Aktualisierung auf Adobe Flash Player 14.0.0.179 empfohlen.
  • Anwendern von Flash Player 14.0.0.145 und früher für Macintosh wird die Aktualisierung auf Adobe Flash Player 14.0.0.176 empfohlen.
  • Anwendern von Flash Player 11.2.202.394 und früheren Versionen für Linux wird die Aktualisierung auf Adobe Flash Player 11.2.202.400 empfohlen.
  • Die Version von Flash Player 14.0.0.145 in Google Chrome wird automatisch auf Flash Player 14.0.0.177 (Windows, Macintosh und Linux) aktualisiert.
  • Die Version von Flash Player 14.0.0.145 in Internet Explorer 10 wird automatisch auf Flash Player 14.0.0.176 für Windows 8.0 aktualisiert.
  • Die Version von Flash Player 14.0.0.145 in Internet Explorer 11 wird automatisch auf Adobe Flash Player 14.0.0.176 für Windows 8.1 aktualisiert.
  • Anwendern von Adobe AIR 14.0.0.110 und früheren Versionen für Windows und Macintosh wird die Aktualisierung auf Adobe AIR 14.0.0.178 empfohlen.
  • Anwendern von Adobe AIR-SDK-Version 14.0.0.137 und früheren Versionen wird die Aktualisierung auf Version 14.0.0.178 empfohlen.
  • Anwendern von Adobe AIR-SDK & Compiler-Version 14.0.0.137 und früheren Versionen wird die Aktualisierung auf Adobe AIR-SDK & Compiler-Version 14.0.0.178 empfohlen.
  • Anwendern von Adobe AIR 14.0.0.137 und früheren Versionen für Android wird die Aktualisierung auf Adobe AIR 14.0.0.179 empfohlen.

Betroffene Softwareversionen

  • Adobe Flash Player 14.0.0.145 und frühere Versionen für Windows und Macintosh
  • Adobe Flash Player 11.2.202.394 und frühere Versionen für Linux
  • Adobe AIR 14.0.0.110 und frühere Versionen für Windows und Macintosh
  • Adobe AIR-SDK 14.0.0.137 und frühere Versionen
  • Adobe AIR-SDK & Compiler 14.0.0.137 und frühere Versionen
  • Adobe AIR 14.0.0.137 und frühere Versionen für Android

Um die Versionsnummer Ihrer Adobe Flash Player-Installation herauszufinden, öffnen Sie entweder die Info-Seite zu Flash Player oder klicken mit der rechten Maustaste auf einen beliebigen Inhalt im Flash Player und wählen im Kontextmenü den Befehl „Über Adobe (bzw. Macromedia) Flash Player“. Wenn Sie mit mehreren Browsern arbeiten, führen Sie die Prüfung für jeden Browser aus.

Um die Versionsnummer Ihrer Adobe AIR-Installation herauszufinden, befolgen Sie die Anweisungen in der TechNote zu Adobe AIR.

Lösung

Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:

  • Adobe empfiehlt Anwendern des Adobe Flash Player Active X-Plug-Ins für Internet Explorer 14.0.0.145 und früher die Aktualisierung auf Adobe Flash Player 14.0.0.176. Das Update kann über das Download-Center für Flash Player oder über die automatische Aktualisierungsfunktion des Produkts heruntergeladen werden.
  • Adobe empfiehlt Anwendern des Adobe Flash Player Windows NPAPI-Plug-Ins für Firefox 14.0.0.145 und früher die Aktualisierung auf Adobe Flash Player 14.0.0.179. Das Update kann über das Download-Center für Flash Player oder über die automatische Aktualisierungsfunktion des Produkts heruntergeladen werden.
  • Adobe empfiehlt Anwendern des Adobe Flash Player 14.0.0.145 und früher für Macintosh die Aktualisierung auf Adobe Flash Player 14.0.0.176. Das Update kann über das Download-Center für Flash Player oder über die automatische Aktualisierungsfunktion des Produkts heruntergeladen werden.
  • Anwendern von Flash Player 11.2.202.394 und früheren Versionen für Linux wird die Aktualisierung auf Version 11.2.202.400 empfohlen, die sie aus dem Download Center für Flash Player herunterladen können.
  • Die Version von Flash Player 14.0.0.145 in Google Chrome wird automatisch auf Flash Player 14.0.0.177 (Windows, Macintosh und Linux) aktualisiert.
  • Für Anwender von Flash Player 14.0.0.145 und früheren Versionen für Windows und Macintosh, die nicht auf Flash Player 14.0.0.176 aktualisieren können, stellt Adobe das Flash Player-Update 13.0.0.241 bereit, das von http://helpx.adobe.com/de/flash-player/kb/archived-flash-player-versions.html heruntergeladen werden kann.
  • Die Version von Flash Player 14.0.0.145 in Internet Explorer 10 wird automatisch auf Flash Player 14.0.0.176 für Windows 8.0 aktualisiert.
  • Die Version von Flash Player 14.0.0.145 in Internet Explorer 11 wird automatisch auf Adobe Flash Player 14.0.0.176 für Windows 8.1 aktualisiert.
  • Anwendern von Adobe AIR 14.0.0.110 und früheren Versionen für Windows und Macintosh wird die Aktualisierung auf Version 14.0.0.178 empfohlen.
  • Anwendern von Adobe AIR-SDK-Version 14.0.0.137 und früheren Versionen wird die Aktualisierung auf Version 14.0.0.178 empfohlen.
  • Anwendern von Adobe AIR-SDK & Compiler-Version 14.0.0.137 und früheren Versionen wird die Aktualisierung auf Adobe AIR-SDK & Compiler-Version 14.0.0.178 empfohlen.
  • Anwendern von Adobe AIR 14.0.0.137 und früheren Versionen für Android wird die Aktualisierung auf Adobe AIR 14.0.0.179 empfohlen.

Priorität und Schweregrad

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

Produkt Aktualisierte Version Plattform Priorität
Adobe Flash Player 14.0.0.176
Windows Active X-Plug-In für Internet Explorer
1
  14.0.0.179
Windows NPAPI-Plug-In für Firefox
1
  14.0.0.176 Macintosh 1
  14.0.0.176 Internet Explorer 10 für Windows 8.0 1
  14.0.0.176
Internet Explorer 11 für Windows 8.1 1
  14.0.0.177
Chrome für Windows, Macintosh und Linux 1
  11.2.202.400 Linux 3
Adobe AIR 14.0.0.178 Windows und Macintosh 3
Adobe AIR 14.0.0.179 Android 3
Adobe AIR-SDK und Compiler 14.0.0.178
Windows, Macintosh, Android und iOS 3
Adobe AIR SDK 14.0.0.178
Windows, Macintosh, Android und iOS
3

Diese Updates beheben kritische Sicherheitslücken in der Software.

Details

Adobe hat Sicherheitsupdates für Adobe Flash Player 14.0.0.145 und frühere Versionen für Windows und Macintosh sowie für Adobe Flash Player 11.2.202.394 und frühere Versionen für Linux veröffentlicht. Diese Updates beheben Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen. Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:

  • Anwendern des Adobe Flash Player Active X-Plug-Ins für Internet Explorer 14.0.0.145 und früher wird die Aktualisierung auf Adobe Flash Player 14.0.0.176 empfohlen.
  • Anwendern des Adobe Flash Player Windows NPAPI-Plug-Ins für Firefox 14.0.0.145 und früher wird die Aktualisierung auf Adobe Flash Player 14.0.0.179 empfohlen.
  • Anwendern von Flash Player 14.0.0.145 und früher für Macintosh wird die Aktualisierung auf Adobe Flash Player 14.0.0.176 empfohlen.
  • Anwendern von Flash Player 11.2.202.394 und früheren Versionen für Linux wird die Aktualisierung auf Adobe Flash Player 11.2.202.400 empfohlen.
  • Die Version von Flash Player 14.0.0.145 in Google Chrome wird automatisch auf Flash Player 14.0.0.177 (Windows, Macintosh und Linux) aktualisiert.
  • Die Version von Flash Player 14.0.0.145 in Internet Explorer 10 wird automatisch auf Flash Player 14.0.0.176 für Windows 8.0 aktualisiert.
  • Die Version von Flash Player 14.0.0.145 in Internet Explorer 11 wird automatisch auf Adobe Flash Player 14.0.0.176 für Windows 8.1 aktualisiert.
  • Anwendern von Adobe AIR 14.0.0.110 und früheren Versionen für Windows und Macintosh wird die Aktualisierung auf Adobe AIR 14.0.0.178 empfohlen.
  • Anwendern von Adobe AIR-SDK-Version 14.0.0.137 und früheren Versionen wird die Aktualisierung auf Version 14.0.0.178 empfohlen.
  • Anwendern von Adobe AIR-SDK & Compiler-Version 14.0.0.137 und früheren Versionen wird die Aktualisierung auf Adobe AIR-SDK & Compiler-Version 14.0.0.178 empfohlen.
  • Anwendern von Adobe AIR 14.0.0.137 und früheren Versionen für Android wird die Aktualisierung auf Adobe AIR 14.0.0.179 empfohlen.
Diese Updates schließen Sicherheitslücken im Speicher, die genutzt werden können, um die Randomisierung von Speicheradressen zu umgehen (CVE-2014-0540, CVE-2014-0542, CVE-2014-0543, CVE-2014-0544, CVE-2014-0545).
 
Die Updates schließen eine Schwachstelle, die es Angreifern ermöglicht, Sicherheitsabfragen zu umgehen (CVE-2014-0541).
 
Die Updates schließen eine Sicherheitslücke, die durch Weiterverwendung nach Speicherfreigabe verursacht wird und die Ausführung von Code ermöglicht (CVE-2014-0538).
 
Diese Updates beinhalten eine neue Validierungsüberprüfung zur Verwaltung speziell erstellter SWF-Inhalte, mithilfe derer in Version 14.0.0.145 eingeführte Beschränkungen umgangen werden können. Durch die neuen Beschränkungen in Version 14.0.0.176 wird verhindert, dass Flash Player für seitenübergreifende Anforderungsfälschungen bei JSNOP-Endpunkten verwendet wird (CVE-2014-5333).
 
Betroffene Software   Empfohlenes Player-Update Verfügbarkeit
Flash Player Active X-Plug-In für Internet Explorer 14.0.0.145 und frühere Versionen
  14.0.0.176 Flash Player Download Center
Flash Player Windows NPAPI-Plug-In für Firefox 14.0.0.145 und frühere Versionen   14.0.0.179 Flash Player Download Center
Flash Player 14.0.0.145 und frühere Versionen (Verteilung per Netzwerk)   14.0.0.176
Lizenzierung von Flash Player
Flash Player 11.2.202.394 und frühere Versionen für Linux   11.2.202.400 Flash Player Download Center
Flash Player 14.0.0.145 und frühere Versionen für Google Chrome (Windows, Macintosh und Linux)   14.0.0.177
Google Chrome-Update
Flash Player 14.0.0.145 und frühere Versionen für Internet Explorer 10 für Windows 8.0   14.0.0.176
Microsoft-Sicherheitsempfehlung
Flash Player 14.0.0.145 und frühere Versionen für Internet Explorer 11 für Windows 8.1   14.0.0.176
Microsoft-Sicherheitsempfehlung
AIR 14.0.0.110 und frühere Versionen   14.0.0.178 Download-Center für AIR
AIR 14.0.0.137 SDK & Compiler und frühere Versionen   14.0.0.178 Adobe AIR-SDK-Download
AIR-SDK 14.0.0.137 und frühere Versionen   14.0.0.178
Adobe AIR-SDK-Download
AIR 14.0.0.137 und frühere Versionen für Android   14.0.0.179 Google Play

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:

  • Wen Guanxing von Venustech Adlab (CVE-2014-0538)
  • lokihardt@asrt in Zusammenarbeit mit der Zero Day Initiative von HP (CVE-2014-0540)
  • Soroush Dalili von NCC Group (CVE-2014-0541)
  • Chris Evans von Google Project Zero (CVE-2014-0542, CVE-2014-0543, CVE-2014-0544, CVE-2014-0545)
  • Michele Spagnuolo (CVE-2014-5333)

Historie

August 2014: Verweis auf neue Validierungsüberprüfungen hinzugefügt, die für Flash Player eingeführt wurden, um seitenübergreifende Anforderungsfälschungen bei anfälligen JSNOP-Endpunkten zu verhindern (CVE-2014-5333).