Adobe-Sicherheitsbulletin

Freigabedatum: 12. Juli 2016

Zuletzt aktualisiert am: 3. Oktober 2016

Kennung der Sicherheitslücke: APSB16-25

Priorität: Siehe Tabelle unten

CVE Nummern: CVE-2016-4172, CVE-2016-4173, CVE-2016-4174, CVE-2016-4175, CVE-2016-4176, CVE-2016-4177, CVE-2016-4178, CVE-2016-4179, CVE-2016-4180, CVE-2016-4181, CVE-2016-4182, CVE-2016-4183, CVE-2016-4184, CVE-2016-4185, CVE-2016-4186, CVE-2016-4187, CVE-2016-4188, CVE-2016-4189, CVE-2016-4190, CVE-2016-4217, CVE-2016-4218, CVE-2016-4219, CVE-2016-4220, CVE-2016-4221, CVE-2016-4222, CVE-2016-4223, CVE-2016-4224, CVE-2016-4225, CVE-2016-4226, CVE-2016-4227, CVE-2016-4228, CVE-2016-4229, CVE-2016-4230, CVE-2016-4231, CVE-2016-4232, CVE-2016-4233, CVE-2016-4234, CVE-2016-4235, CVE-2016-4236, CVE-2016-4237, CVE-2016-4238, CVE-2016-4239, CVE-2016-4240, CVE-2016-4241, CVE-2016-4242, CVE-2016-4243, CVE-2016-4244, CVE-2016-4245, CVE-2016-4246, CVE-2016-4247, CVE-2016-4248, CVE-2016-4249, CVE-2016-7020

Plattform: Windows, Macintosh, Linux and ChromeOS

Adobe hat Sicherheits-Updates für Adobe Flash Player für Windows, Macintosh und Linux und ChromeOS veröffentlicht.  Diese Updates beheben kritische Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen.  

• Um die Versionsnummer Ihrer Adobe Flash Player-Installation herauszufinden, öffnen Sie entweder die Info-Seite zu Flash Player oder klicken mit der rechten Maustaste auf einen beliebigen Inhalt im Flash Player und wählen im Kontextmenü den Befehl „Über Adobe (bzw. Macromedia) Flash Player“. Wenn Sie mit mehreren Browsern arbeiten, führen Sie die Prüfung für jeden Browser aus.  

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

• Adobe empfiehlt Benutzern der Adobe Flash Player Desktop Runtime für Windows und Macintosh das Update auf Version 22.0.0.209, und zwar auf Aufforderung über den vom Produkt angebotenen Aktualisierungsmechanismus [1] oder durch ein entsprechendes Download vom Adobe Flash Player Download Center.
• Adobe empfiehlt Anwendern des Adobe Flash Player Extended Support Release das Update auf Version 18.0.0.366 von http://helpx.adobe.com/de/flash-player/kb/archived-flash-player-versions.html.
• Anwendern von Flash Player für Linux wird das Update auf Version 11.2.202.632 empfohlen, das sie aus dem Download Center für Adobe Flash Player herunterladen können.
• Die Version von Adobe Flash Player in Google Chrome wird automatisch auf die neueste Google Chrome-Version aktualisiert, die Adobe Flash Player 22.0.0.209 für Windows, Macintosh, Linux und Chrome OS beinhaltet.
• Die Version von Adobe Flash Player in Microsoft Edge und Internet Explorer für Windows 10 und 8.1 wird automatisch auf die neueste Version, Adobe Flash Player 22.0.0.209, aktualisiert. 
• Rufen Sie die Seite Hilfe zu Flash Player auf, um Informationen zur Installation von Flash Player zu erhalten.

[1] Anwender von Flash Player 11.2.x oder höher für Windows und Flash Player 11.3.x oder höher für Macintosh, die die Option zur automatischen Installation aktiviert haben, erhalten das Update automatisch. Anwender, die die Option zur automatischen Installation von Updates nicht aktiviert haben, können die Aktualisierung vom Produkt aus nutzen.

• Diese Updates schließen eine Sicherheitslücke, die aufgrund einer Wettlaufsituation entsteht und die Offenlegung von Informationen ermöglicht (CVE-2016-4247).

• Diese Updates schließen Sicherheitslücken, die aufgrund einer Typenverwechslung entstehen und die Ausführung von Code ermöglichen (CVE-2016-4223, CVE-2016-4224, CVE-2016-4225).

• Diese Updates schließen Use-after-free-Sicherheitslücken, die die Ausführung von Code ermöglichen (CVE-2016-4173, CVE-2016-4174, CVE-2016-4222, CVE-2016-4226, CVE-2016-4227, CVE-2016-4228, CVE-2016-4229, CVE-2016-4230, CVE-2016-4231, CVE-2016-4248, CVE-2016-7020).

• Diese Updates schließen eine Sicherheitslücke, die aufgrund eines Heap-Überlaufs entsteht und die Ausführung von Code ermöglicht (CVE-2016-4249).

• Diese Updates schließen Speicherbeschädigungs-Sicherheitslücken, die Ausführung von Code ermöglichen (CVE-2016-4172, CVE-2016-4175, CVE-2016-4179, CVE-2016-4180, CVE-2016-4181, CVE-2016-4182, CVE-2016-4183, CVE-2016-4184, CVE-2016-4185, CVE-2016-4186, CVE-2016-4187, CVE-2016-4188, CVE-2016-4189, CVE-2016-4190, CVE-2016-4217, CVE-2016-4218, CVE-2016-4219, CVE-2016-4220, CVE-2016-4221, CVE-2016-4233, CVE-2016-4234, CVE-2016-4235, CVE-2016-4236, CVE-2016-4237, CVE-2016-4238, CVE-2016-4239, CVE-2016-4240, CVE-2016-4241, CVE-2016-4242, CVE-2016-4243, CVE-2016-4244, CVE-2016-4245, CVE-2016-4246).

• Diese Updates schließen eine Sicherheitslücke, die aufgrund eines Speicherlecks entstehen kann (CVE-2016-4232).

• Die Updates schließen Sicherheitslücken, die aufgrund eines beschädigten Stapels entstehen können und die Ausführung von Code ermöglichen (CVE-2016-4176, CVE-2016-4177).

• Diese Updates schließen eine Sicherheitslücke, die Angreifern das Umgehen von Sicherheitsabfragen und die Offenlegung von Informationen ermöglicht (CVE-2016-4178)

• Yuki Chen aus dem Qihoo 360 Vulcan-Team, die für das Chromium Vulnerability Rewards Program arbeitet (CVE-2016-4249)

• Nicolas Joly von Microsoft Vulnerability Research (CVE-2016-4173)

• Wen Guanxing von Pangu LAB (CVE-2016-4188, CVE-2016-4248)

• Jaehun Jeong(@n3sk) vom WINS WSEC Analysis-Team, der für die Zero Day Initiative von Trend Micro arbeitet (CVE-2016-4222)

• Kai Kang (aka 4B5F5F4B), der für die Zero Day Initiative von Trend Micro arbeitet (CVE-2016-4174)

• willJ von Tencent PC Manager (CVE-2016-4172)

• Natalie Silvanovich von Google Project Zero (CVE-2016-4226, CVE-2016-4227, CVE-2016-4228, CVE-2016-4229, CVE-2016-4230, CVE-2016-4231, CVE-2016-4232)

• Garandou Sara, die für die Zero Day Initiative von Trend Micro arbeitet (CVE-2016-4223)

• Sébastien Morin von COSIG (CVE-2016-4179)

• Sébastien Morin von COSIG und Francis Provencher von COSIG (CVE-2016-4175)
  

• Kurutsu Karen, die für die Zero Day Initiative von Trend Micro arbeitet (CVE-2016-4225)

• Soroush Dalili und Matthew Evans von der NCC Group (CVE-2016-4178)

• Yuki Chen vom Qihoo 360 Vulcan Team (CVE-2016-4180, CVE-2016-4181, CVE-2016-4183, CVE-2016-4184, CVE-2016-4185, CVE-2016-4186, CVE-2016-4187, CVE-2016-4233, CVE-2016-4234, CVE-2016-4235, CVE-2016-4236, CVE-2016-4239, CVE-2016-4240, CVE-2016-4241, CVE-2016-4242, CVE-2016-4243, CVE-2016-4244, CVE-2016-4245, CVE-2016-4246)

• Yuki Chen vom Qihoo 360 Vulcan Team, Wen Guanxing von Pangu LAB und Tao Yan von Palo Alto Networks (CVE-2016-4182)

• Yuki Chek vom Qihoo 360 Vulcan Team und Tao Yan von Palo Alto Networks (CVE-2016-4237, CVE-2016-4238) 

• Junfeng Yang und Genwei Jiang von FireEye und Yuki Chen vom Qihoo 360 Vulcan-Team (CVE-2016-4185)

• Ohara Rinne, die für die Zero Day Initiative von Trend Micro arbeitet (CVE-2016-4224)

• Francis Provencher von COSIG (CVE-2016-4176, CVE-2016-4177)

• Jie Zeng von Tencent Zhanlu Lab (CVE-2016-4189, CVE-2016-4190, CVE-2016-4217, CVE-2016-4218, CVE-2016-4219, CVE-2016-4220, CVE-2016-4221)

• JieZeng von Tencent Zhanlu Lab in Zusammenarbeit mit dem Chromium Vulnerability Rewards Program (CVE-2016-7020)

• Stefan Kanthak (CVE-2016-4247)

22. August 2016: Eine Danksagung an Tao Yan von Palo Alto Networks für CVE-2016-4237, CVE-2016-4238 und CVE-2016-4182 wurde hinzugefügt.   

26. August 2016: Die Danksagung für CVE-2016-4175 wurde aktualisiert. 

3. Oktober 2016: Die Danksagung für CVE-2016-7020 wurde aktualisiert.