Adobe-Sicherheitsbulletin

Freigabedatum: 9. Dezember 2014

Kennung der Sicherheitslücke: APSB14-27

Priorität: Siehe Tabelle unten

CVE-Nummern: CVE-2014-0580, CVE-2014-0587, CVE-2014-8443, CVE-2014-9162, CVE-2014-9163, CVE-2014-9164 

Plattform: Alle Plattformen

Adobe hat Sicherheits-Updates für Adobe Flash Player für Windows, Macintosh und Linux veröffentlicht.  Diese Updates beheben Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen.

Adobe sind Fälle bekannt, dass ein Exploit-Code zu CVE-2014-9163 im Internet verfügbar ist, und empfiehlt Anwendern die Aktualisierung ihrer Produktinstallation auf die neueste Version:

• Anwendern der Adobe Flash Player Desktop Runtime für Windows und Macintosh wird das Update auf Adobe Flash Player 16.0.0.235 empfohlen.
• Anwendern des Adobe Flash Player Extended Support Release wird das Update auf Adobe Flash Player 13.0.0.259 empfohlen.
• Anwendern von Adobe Flash Player für Linux wird das Update auf Adobe Flash Player 11.2.202.425 empfohlen.
• Adobe Flash Player in Google Chrome sowie Internet Explorer unter Windows 8.x werden automatisch auf die aktuelle Version aktualisiert.

Hinweis: Benutzer, die auf Version 15.0.0.246 aktualisiert wurden, sind von CVE-2014-9163 nicht betroffen.

• Adobe Flash Player 15.0.0.242 und früher
• Adobe Flash Player 13.0.0.258 und frühere 13.x-Versionen
• Adobe Flash Player 11.2.202.424 und früher für Linux

Um die Versionsnummer Ihrer Adobe Flash Player-Installation herauszufinden, öffnen Sie entweder die Info-Seite zu Flash Player oder klicken mit der rechten Maustaste auf einen beliebigen Inhalt im Flash Player und wählen im Kontextmenü den Befehl „Über Adobe (bzw. Macromedia) Flash Player“. Wenn Sie mit mehreren Browsern arbeiten, führen Sie die Prüfung für jeden Browser aus.

Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:

• Adobe empfiehlt Anwendern von Adobe Flash Player Desktop Runtime für Windows und Macintosh, das Update auf Adobe Flash Player 16.0.0.235 aus dem Download Center für Adobe Flash Player zu installieren oder auf Nachfrage die automatische Aktualisierungsfunktion des Produkts zu nutzen.
• Adobe empfiehlt Anwendern des Adobe Flash Player Extended Support Release das Update auf Version 13.0.0.259 von http://helpx.adobe.com/de/flash-player/kb/archived-flash-player-versions.html.
• Anwendern von Flash Player für Linux wird das Update auf Version 11.2.202.425 empfohlen, das sie aus dem Download Center für Adobe Flash Player herunterladen können.
• Die Version von Adobe Flash Player in Google Chrome wird automatisch auf Adobe Flash Player 16.0.0.235 aktualisiert.
• Die Version von Adobe Flash Player im Internet Explorer für Windows 8 wird automatisch auf Adobe Flash Player 16.0.0.235 aktualisiert.

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

Diese Updates beheben kritische Sicherheitslücken in der Software.

Adobe hat Sicherheits-Updates für Adobe Flash Player für Windows, Macintosh und Linux veröffentlicht.  Diese Updates beheben Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen. Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:

• Anwendern der Adobe Flash Player Desktop Runtime für Windows und Macintosh wird das Update auf Adobe Flash Player 16.0.0.235 empfohlen.
• Anwendern des Adobe Flash Player Extended Support Release wird das Update auf Adobe Flash Player 13.0.0.259 empfohlen.
• Anwendern von Adobe Flash Player für Linux wird das Update auf Adobe Flash Player 11.2.202.425 empfohlen.
• Adobe Flash Player in Google Chrome sowie Internet Explorer unter Windows 8.x werden automatisch auf die aktuelle Version aktualisiert.

Die Updates schließen Sicherheitslücken, die aufgrund eines beschädigten Speichers entstehen können und die Ausführung von Code ermöglichen könnten (CVE-2014-0587, CVE-2014-9164).

Die Updates schließen eine Sicherheitslücke, die durch Weiterverwendung nach Speicherfreigabe verursacht wird und die Ausführung von Code ermöglicht (CVE-2014-8443).

Mit den Updates wird eine Sicherheitslücke geschlossen, die aufgrund eines stapelbasierten Pufferüberlaufs entsteht und die Ausführung von Code ermöglicht (CVE-2014-9163).

Diese Updates schließen eine Sicherheitslücke, die eine unbeabsichtigte Weitergabe von Daten ermöglicht (CVE-2014-9162).

Diese Updates schließen eine Sicherheitslücke, die ein Umgehen der Same-Origin-Policy ermöglicht (CVE-2014-0580). 

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:

• bilou in Zusammenarbeit mit der Zero Day Initiative von HP (CVE-2014-9163)
• Fermin J. Serna, Mateusz Jurczyk und Ben Hawkes vom Google Security Team (CVE-2014-0587)
• Haifei Li vom McAfee Labs IPS-Team (CVE-2014-8443)
• Tavis Ormandy und Chris Evans von Google Project Zero (CVE-2014-9164)
• Toshiharu Sugiyama von DeNA Co., Ltd. (CVE-2014-0580)
• Wen Guanxing von Venustech ADLAB in Zusammenarbeit mit der Zero Day Initiative von HP (CVE-2014-9162)