Adobe-Sicherheitsbulletin

Freigabedatum: 8. Dezember 2015

Letzte Aktualisierung: 3. Juni 2016

Kennung der Sicherheitslücke: APSB15-32

Priorität: Siehe Tabelle unten

CVE-Nummer: CVE-2015-8045, CVE-2015-8047, CVE-2015-8048, CVE-2015-8049, CVE-2015-8050, CVE-2015-8418, CVE-2015-8454, CVE-2015-8455, CVE-2015-8055, CVE-2015-8056, CVE-2015-8057, CVE-2015-8058, CVE-2015-8059, CVE-2015-8060, CVE-2015-8061, CVE-2015-8062, CVE-2015-8063, CVE-2015-8064, CVE-2015-8065, CVE-2015-8066, CVE-2015-8067, CVE-2015-8068, CVE-2015-8069, CVE-2015-8070, CVE-2015-8071, CVE-2015-8401, CVE-2015-8402, CVE-2015-8403, CVE-2015-8404, CVE-2015-8405, CVE-2015-8406, CVE-2015-8407, CVE-2015-8408, CVE-2015-8409, CVE-2015-8410, CVE-2015-8411, CVE-2015-8412, CVE-2015-8413, CVE-2015-8414, CVE-2015-8415, CVE-2015-8416, CVE-2015-8417, CVE-2015-8419, CVE-2015-8420, CVE-2015-8421, CVE-2015-8422, CVE-2015-8423, CVE-2015-8424, CVE-2015-8425, CVE-2015-8426, CVE-2015-8427, CVE-2015-8428, CVE-2015-8429, CVE-2015-8430, CVE-2015-8431, CVE-2015-8432, CVE-2015-8433, CVE-2015-8434, CVE-2015-8435, CVE-2015-8436, CVE-2015-8437, CVE-2015-8438, CVE-2015-8439, CVE-2015-8440, CVE-2015-8441, CVE-2015-8442, CVE-2015-8443, CVE-2015-8444, CVE-2015-8445, CVE-2015-8446, CVE-2015-8447, CVE-2015-8448, CVE-2015-8449, CVE-2015-8450, CVE-2015-8451, CVE-2015-8452, CVE-2015-8453, CVE-2015-8456, CVE-2015-8457, CVE-2015-8652, CVE-2015-8653, CVE-2015-8654, CVE-2015-8655, CVE-2015-8656, CVE-2015-8657, CVE-2015-8658, CVE-2015-8820, CVE-2015-8821, CVE-2015-8822, CVE-2015-8823

Plattform: Alle Plattformen

Adobe hat Sicherheits-Updates für Adobe Flash Player veröffentlicht.  Diese Updates beheben kritische Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen.

• Um die Versionsnummer Ihrer Adobe Flash Player-Installation herauszufinden, öffnen Sie entweder die Info-Seite zu Flash Player oder klicken mit der rechten Maustaste auf einen beliebigen Inhalt im Flash Player und wählen im Kontextmenü den Befehl „Über Adobe (bzw. Macromedia) Flash Player“. Wenn Sie mit mehreren Browsern arbeiten, führen Sie die Prüfung für jeden Browser aus.  
• Um die Versionsnummer Ihrer Adobe AIR-Installation herauszufinden, befolgen Sie die Anweisungen in der TechNote zu Adobe AIR.

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

• Adobe empfiehlt Anwendern von Desktop Runtime für Windows und Macintosh, das Update auf Adobe Flash Player 20.0.0.228 (Unterstützung für Internet Explorer) und auf Adobe Flash Player 20.0.0.235 (Unterstützung für Firefox und Safari) aus dem Download Center für Adobe Flash Player zu installieren oder die automatische Aktualisierungsfunktion zu nutzen, wenn sie bei der Verwendung des Produkts dazu aufgefordert werden [1].
• Adobe empfiehlt Anwendern des Adobe Flash Player Extended Support Release das Update auf Version 18.0.0.268 von http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html.
• Anwendern von Flash Player für Linux wird das Update auf Version 11.2.202.554 empfohlen, die sie aus dem Download Center für Adobe Flash Player herunterladen können.
• Die Version von Adobe Flash Player in Google Chrome wird automatisch auf die neueste Google Chrome-Version aktualisiert, die Adobe Flash Player 20.0.0.228 für Windows, Macintosh, Linux und Chrome OS beinhaltet.
• Die Version von Adobe Flash Player in Microsoft Edge und Internet Explorer für Windows 10 wird automatisch auf Adobe Flash Player 20.0.0.228 aktualisiert. 
• Die Version von Adobe Flash Player im Internet Explorer für Windows 8 wird automatisch auf Adobe Flash Player 20.0.0.228 aktualisiert.
• Adobe empfiehlt Anwendern von AIR-Desktop-Runtime, AIR SDK und AIR SDK & Compiler ein Update auf Version 20.0.0.204 über das AIR Download Center oder das AIR Developer Center. 
• Rufen Sie die Seite Hilfe zu Flash Player auf, um Informationen zur Installation von Flash Player zu erhalten.

• Diese Updates schließen Sicherheitslücken, die aufgrund eines Heap-Pufferüberlaufs entstehen können und die Ausführung von Code ermöglichen (CVE-2015-8438, CVE-2015-8446).
• Die Updates schließen Sicherheitslücken, die aufgrund eines beschädigten Speichers entstehen können und die Ausführung von Code ermöglichen (CVE-2015-8444, CVE-2015-8443, CVE-2015-8417, CVE-2015-8416, CVE-2015-8451, CVE-2015-8047, CVE-2015-8455, CVE-2015-8045, CVE-2015-8418, CVE-2015-8060, CVE-2015-8419, CVE-2015-8408, CVE-2015-8652, CVE-2015-8654, CVE-2015-8656, CVE-2015-8657, CVE-2015-8658, CVE-2015-8820).
• Diese Updates schließen Sicherheitslücken, die Angreifern das Umgehen von Sicherheitsabfragen ermöglichen (CVE-2015-8453, CVE-2015-8440, CVE-2015-8409).
• Diese Updates schließen eine Sicherheitslücke, die aufgrund eines Stacküberlaufs entsteht und die die Ausführung von Code ermöglicht (CVE-2015-8407, CVE-2015-8457).
• Diese Updates schließen eine Sicherheitslücke, die aufgrund einer „Type Confusion“ entsteht und die die Ausführung von Code ermöglicht (CVE-2015-8439, CVE-2015-8456).
• Diese Updates schließen eine Sicherheitslücke, die aufgrund eines Ganzzahlüberlaufs entsteht und die Ausführung von Code ermöglicht (CVE-2015-8445).
• Mit den Updates wird eine Sicherheitslücke geschlossen, die aufgrund eines Pufferüberlaufs entsteht und die Ausführung von Code ermöglicht (CVE-2015-8415)
• Diese Updates schließen Use-after-free-Sicherheitslücken, die die Ausführung von Code ermöglichen (CVE-2015-8050, CVE-2015-8049, CVE-2015-8437, CVE-2015-8450, CVE-2015-8449, CVE-2015-8448, CVE-2015-8436, CVE-2015-8452, CVE-2015-8048, CVE-2015-8413, CVE-2015-8412, CVE-2015-8410, CVE-2015-8411, CVE-2015-8424, CVE-2015-8422, CVE-2015-8420, CVE-2015-8421, CVE-2015-8423, CVE-2015-8425, CVE-2015-8433, CVE-2015-8432, CVE-2015-8431, CVE-2015-8426, CVE-2015-8430, CVE-2015-8427, CVE-2015-8428, CVE-2015-8429, CVE-2015-8434, CVE-2015-8435, CVE-2015-8414, CVE-2015-8454, CVE-2015-8059, CVE-2015-8058, CVE-2015-8055, CVE-2015-8057, CVE-2015-8056, CVE-2015-8061, CVE-2015-8067, CVE-2015-8066, CVE-2015-8062, CVE-2015-8068, CVE-2015-8064, CVE-2015-8065, CVE-2015-8063, CVE-2015-8405, CVE-2015-8404, CVE-2015-8402, CVE-2015-8403, CVE-2015-8071, CVE-2015-8401, CVE-2015-8406, CVE-2015-8069, CVE-2015-8070, CVE-2015-8441, CVE-2015-8442, CVE-2015-8447, CVE-2015-8653, CVE-2015-8655, CVE-2015-8822, CVE-2015-8821, CVE-2015-8823).
  

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden: 

• AbdulAziz Hariri of HPE's Zero Day Initiative (CVE-2015-8652, CVE-2015-8653, CVE-2015-8654, CVE-2015-8656, CVE-2015-8657, CVE-2015-8822, CVE-2015-8658, CVE-2015-8820, CVE-2015-8821)
  
• Anonym in Zusammenarbeit mit der Zero Day Initiative von HPE (CVE-2015-8050, CVE-2015-8049, CVE-2015-8437, CVE-2015-8438, CVE-2015-8446, CVE-2015-8655, CVE-2015-8823)
• bee13oy in Zusammenarbeit mit dem Chromium Vulnerability Reward Program (CVE -2015-8418)
• bilou in Zusammenarbeit mit der Zero Day Initiative von HP (CVE-2015-8450, CVE-2015-8449, CVE-2015-8448, CVE-2015-8442, CVE-2015-8447, CVE-2015-8445, CVE-2015-8439)
• Furugawa Nagisa in Zusammenarbeit mit der Zero Day Initiative von HP (CVE-2015-8436)
• Hui Gao von Palo Alto Networks (CVE-2015-8443, CVE-2015-8444)
• instruder vom Alibaba Security Threat Information Center (CVE-2015-8060, CVE-2015-8408, CVE-2015-8419)
• Jie Zeng von Qihoo 360 (-8415, CVE-2015-, CVE-2015-8417)
• Jie Zeng von Qihoo 360 und anonyme Person in Zusammenarbeit mit der Zero Day Initiative von HPE (CVE-2015-8416)
• LMX von Qihoo 360 (CVE-2015-8451, CVE-2015-8452)
• Natalie Silvanovich vom Google Project Zero (CVE-2015-8048, CVE-2015-8413, CVE-2015-8412, CVE-2015-8410, CVE-2015-8411, CVE-2015-8424, CVE-2015-8422, CVE-2015-8420, CVE-2015-8421, CVE-2015-8423, CVE-2015-8425, CVE-2015-8433, CVE-2015-8432, CVE-2015-8431, CVE-2015-8426, CVE-2015-8430, CVE-2015-8427, CVE-2015-8428, CVE-2015-8429, CVE-2015-8434, CVE-2015-8456)
• Nicolas Joly von Microsoft Security (CVE-2015-8414, CVE-2015-8435)
• s3tm3m in Zusammenarbeit mit der Zero Day Initiative von HP (CVE-2015-8457)
  
• VUPEN in Zusammenarbeit mit der Zero Day Initiative von HP (CVE-2015-8453)
• willJ von Tencent PC Manager (CVE-2015-8407)
• Yuki Chen vom Qihoo 360 Vulcan-Team (CVE-2015-8454, CVE-2015-8059, CVE-2015-8058, CVE-2015-8055, CVE-2015-8057, CVE-2015-8056, CVE-2015-8061, CVE-2015-8067, CVE-2015-8066, CVE-2015-8062, CVE-2015-8068, CVE-2015-8064, CVE-2015-8065, CVE-2015-8063, CVE-2015-8405, CVE-2015-8404, CVE-2015-8402, CVE-2015-8403, CVE-2015-8071, CVE-2015-8401, CVE-2015-8406, CVE-2015-8069, CVE-2015-8070, CVE-2015-8440, CVE-2015-8409, CVE-2015-8047, CVE-2015-8455, CVE-2015-8045, CVE-2015-8441)

8. Dezember 2015: CVE-2015-8051, CVE-2015-8052 und CVE-2015-8053 entfernt (jeweils zuvor zugewiesen).  CVE-2015-8418 (Ersatz für CVE-2015-8051), CVE-2015-8454 (Ersatz für CVE-2015-8052) und CVE-2015-8455 (Ersatz für CVE-2015-8053) hinzugefügt.  Außerdem CVE-2015-8054 entfernt, das versehentlich im ursprünglichen Bulletin aufgeführt wurde. 

9. Dezember 2015: CVE-2015-8456 und CVE-2015-8457 wurden hinzugefügt, die versehentlich nicht im ursprünglichen Bulletin aufgeführt wurden. 

2. März 2016: Folgende CVEs wurden hinzugefügt, die versehentlich nicht in der ursprünglichen Version aufgeführt wurden: CVE-2015-8652, CVE-2015-8653, CVE-2015-8654, CVE-2015-8655, CVE-2015-8656, CVE-2015-8657, CVE-2015-8822, CVE-2015-8658, CVE-2015-8820, CVE-2015-8821.  

15. April 2016: CVE-2015-8823 wurde hinzugefügt, die versehentlich nicht in der ursprünglichen Version aufgeführt wurde. 

3. Juni 2016: Eine Danksagung an Anonym in Zusammenarbeit mit der Zero Day Initiative von HPE für CVE-2015-8416 wurde hinzugefügt. Dieses CVE wurde außerdem unabhängig von Jie Zeng von Qihoo 360 gemeldet.