Adobe-Sicherheitsbulletin

Freigabedatum: 11. November 2014

Kennung der Sicherheitslücke: APSB14-24

Priorität: Siehe Tabelle unten

CVE-Nummer: CVE-2014-0573, CVE-2014-0574, CVE-2014-0576, CVE-2014-0577, CVE-2014-0581, CVE-2014-0582, CVE-2014-0583, CVE-2014-0584, CVE-2014-0585, CVE-2014-0586, CVE-2014-0588, CVE-2014-0589, CVE-2014-0590, CVE-2014-8437, CVE-2014-8438, CVE-2014-8440, CVE-2014-8441, CVE-2014-8442

Plattform: Alle Plattformen

Adobe hat Sicherheits-Updates für Adobe Flash Player für Windows, Macintosh und Linux veröffentlicht.  Diese Updates beheben Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen. Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:

• Anwendern der Adobe Flash Player Desktop Runtime für Windows und Macintosh wird das Update auf Adobe Flash Player 15.0.0.223 empfohlen.
• Anwendern des Adobe Flash Player Extended Support Release wird das Update auf Adobe Flash Player 13.0.0.252 empfohlen.
• Anwendern von Adobe Flash Player für Linux wird das Update auf Adobe Flash Player 11.2.202.418 empfohlen.
• Adobe Flash Player in Google Chrome sowie Internet Explorer unter Windows 8.x werden automatisch auf die aktuelle Version aktualisiert.
• Anwendern von Adobe AIR Desktop Runtime wird das Update auf Version 15.0.0.356 empfohlen.
• Anwendern von Adobe AIR SDK und AIR SDK & Compiler wird das Update auf Version 15.0.0.356 empfohlen.
• Anwendern von Adobe AIR für Android wird das Update auf Adobe AIR 15.0.0.356 empfohlen.

• Adobe Flash Player 15.0.0.189 und frühere Versionen
• Adobe Flash Player 13.0.0.250 und frühere 13.x-Versionen
• Adobe Flash Player 11.2.202.411 und frühere Versionen für Linux
• Adobe AIR Desktop Runtime 15.0.0.293 und frühere Versionen
• Adobe AIR SDK 15.0.0.302 und frühere Versionen
• Adobe AIR SDK und Compiler 15.0.0.302 und frühere Versionen
• Adobe AIR 15.0.0.293 und frühere Versionen für Android 

Um die Versionsnummer Ihrer Adobe Flash Player-Installation herauszufinden, öffnen Sie entweder die Info-Seite zu Flash Player oder klicken mit der rechten Maustaste auf einen beliebigen Inhalt im Flash Player und wählen im Kontextmenü den Befehl „Über Adobe (bzw. Macromedia) Flash Player“. Wenn Sie mit mehreren Browsern arbeiten, führen Sie die Prüfung für jeden Browser aus.

Um die Versionsnummer Ihrer Adobe AIR-Installation herauszufinden, befolgen Sie die Anweisungen in der TechNote zu Adobe AIR.

Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:

• Adobe empfiehlt Anwendern von Adobe Flash Player Desktop Runtime für Windows und Macintosh, das Update auf Adobe Flash Player 15.0.0.223 aus dem Download Center für Adobe Flash Player zu installieren oder auf Nachfrage die automatische Aktualisierungsfunktion des Produkts zu nutzen.
• Adobe empfiehlt Anwendern des Adobe Flash Player Extended Support Release das Update auf Version 13.0.0.252 über http://helpx.adobe.com/de/flash-player/kb/archived-flash-player-versions.html.
• Anwendern von Flash Player für Linux wird das Update auf Version 11.2.202.418 empfohlen, das sie aus dem Download Center für Adobe Flash Player herunterladen können.
• Die Version von Adobe Flash Player in Google Chrome wird automatisch auf Adobe Flash Player 15.0.0.223 aktualisiert.
• Die Version von Adobe Flash Player im Internet Explorer für Windows 8 wird automatisch auf Adobe Flash Player 15.0.0.223 aktualisiert.
• Adobe empfiehlt Anwendern der Adobe AIR Desktop Runtime, das Update auf Version 15.0.0.356 aus dem Download Center für Adobe AIR zu installieren.
• Adobe empfiehlt Anwendern des Adobe AIR SDK, das Update auf Version 15.0.0.356 aus dem Download Center für Adobe AIR zu installieren.
• Adobe empfiehlt Anwendern von Adobe AIR SDK und Compiler, das Update auf Version 15.0.0.356 aus dem Download Center für Adobe AIR zu installieren.
• Adobe empfiehlt Anwendern von Adobe AIR für Android, das Update auf Adobe AIR 15.0.0.356 aus dem Google Play Store zu installieren.

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

Diese Updates beheben kritische Sicherheitslücken in der Software.

Adobe hat Sicherheits-Updates für Adobe Flash Player für Windows, Macintosh und Linux veröffentlicht.  Diese Updates beheben Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen. Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:

• Anwendern der Adobe Flash Player Desktop Runtime für Windows und Macintosh wird das Update auf Adobe Flash Player 15.0.0.223 empfohlen.
• Anwendern des Adobe Flash Player Extended Support Release wird das Update auf Adobe Flash Player 13.0.0.252 empfohlen.
• Anwendern von Adobe Flash Player für Linux wird das Update auf Adobe Flash Player 11.2.202.418 empfohlen.
• Adobe Flash Player in Google Chrome sowie Internet Explorer unter Windows 8.x werden automatisch auf die aktuelle Version aktualisiert.
• Anwendern von Adobe AIR Desktop Runtime wird das Update auf Version 15.0.0.356 empfohlen.
• Anwendern von Adobe AIR SDK und AIR SDK & Compiler wird das Update auf Version 15.0.0.356 empfohlen.
• Anwendern von Adobe AIR für Android wird das Update auf Adobe AIR 15.0.0.356 empfohlen.

Die Updates schließen Sicherheitslücken, die aufgrund eines beschädigten Speichers entstehen können und die Ausführung von Code ermöglichen (CVE-2014-0576, CVE-2014-0581, CVE-2014-8440, CVE-2014-8441).

Diese Updates schließen Sicherheitslücken, die durch Weiterverwendung nach Speicherfreigabe verursacht werden und die Ausführung von Code ermöglichen (CVE-2014-0573, CVE-2014-0588, CVE-2014-8438).

Diese Updates schließen eine Double-Free-Sicherheitslücke, die die Ausführung von Code ermöglicht (CVE-2014-0574).

Diese Updates schließen Sicherheitslücken, die aufgrund von Typverwechslungen entstehen können und die Ausführung von Code ermöglichen (CVE-2014-0577, CVE-2014-0584, CVE-2014-0585, CVE-2014-0586, CVE-2014-0590).

Die Updates schließen Sicherheitslücken, die aufgrund eines Heap-Pufferüberlaufs entstehen können und die Ausführung von Code ermöglichen (-0582, CVE-2014-, CVE-2014-0589).

Diese Updates schließen eine Sicherheitslücke zur Offenlegung von Informationen, die ausgenutzt werden könnte, um Sitzungstoken zu veröffentlichen (CVE-2014-8437).

Diese Updates schließen eine Sicherheitslücke, die aufgrund eines Heap-Überlaufs entsteht und die ausgenutzt werden könnte, um Berechtigungen von einer niedrigen auf eine mittlere Integritätsebene zu eskalieren (CVE-2014-0583). 

Diese Updates beheben ein Berechtigungsproblem, das ausgenutzt werden könnte, um Berechtigungen von einer niedrigen auf eine mittlere Integritätsebene zu eskalieren (CVE-2014-8442).

Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:

• Ian Beer von Google Project Zero (CVE-2014-0584, CVE-2014-0585, CVE-2014-0586, CVE-2014-0589, CVE-2014-0590)
• bilou, unter Verwendung des Chrome Reward Program (CVE-2014-0574)
• bilou über das iDefense Vulnerability Contributor Program von Verisign (CVE-2014-0588, CVE-2014-8440)
• Behrang Fouladi Azarnaminy und Axel Souchet von Microsoft Vulnerability Research (CVE-2014-8442)
• Haifei Li vom McAfee Labs IPS-Team (CVE-2014-0583)
• Liu Jincheng und Wen Guanxing von Venustech ADLAB (CVE-2014-8438)
• Nicolas Joly (CVE-2014-0582)
• Lucas Leong von TrendMicro (CVE-2014-0581)
• Tavis Ormandy und Chris Evans von Google Project Zero (CVE-2014-0573, CVE-2014-0576)
• Natalie Silvanovich in Zusammenarbeit mit Google Project Zero (CVE-2014-0577)
• SuperHei von KnownSec (CVE-2014-8441)
• Anonym gemeldet (CVE-2014-8437)