Freigabedatum: 13. Januar 2015
Kennung der Sicherheitslücke: APSB15-01
Priorität: Siehe Tabelle unten
CVE-Nummern: CVE-2015-0301, CVE-2015-0302, CVE-2015-0303, CVE-2015-0304, CVE-2015-0305, CVE-2015-0306, CVE-2015-0307, CVE-2015-0308, CVE-2015-0309
Plattform: Alle Plattformen
Adobe hat Sicherheits-Updates für Adobe Flash Player für Windows, Macintosh und Linux veröffentlicht. Diese Updates beheben Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen. Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:
- Anwendern der Adobe Flash Player Desktop Runtime für Windows und Macintosh wird das Update auf Adobe Flash Player 16.0.0.257 empfohlen.
- Anwendern des Adobe Flash Player Extended Support Release wird das Update auf Adobe Flash Player 13.0.0.260 empfohlen.
- Anwendern von Adobe Flash Player für Linux wird das Update auf Adobe Flash Player 11.2.202.429 empfohlen.
- Adobe Flash Player in Google Chrome sowie Internet Explorer unter Windows 8.x werden automatisch auf Version 16.0.0.257.x aktualisiert.
- Anwendern von Adobe AIR Desktop Runtime wird das Update auf Version 16.0.0.245 empfohlen.
- Anwendern von Adobe AIR SDK und AIR SDK & Compiler wird das Update auf Version 16.0.0.272 empfohlen.
- Anwendern von Adobe AIR für Android wird das Update auf Version 16.0.0.272 empfohlen.
- Adobe Flash Player 16.0.0.235 und früher
- Adobe Flash Player 13.0.0.259 und frühere 13.x-Versionen
- Adobe Flash Player 11.2.202.425 und früher für Linux
- Adobe AIR Desktop Runtime 15.0.0.356 und frühere Versionen
- Adobe AIR SDK 15.0.0.356 und frühere Versionen
- Adobe AIR SDK und Compiler 15.0.0.356 und frühere Versionen
- Adobe AIR für Android 15.0.0.356 und früher
Um die Versionsnummer Ihrer Adobe Flash Player-Installation herauszufinden, öffnen Sie entweder die Info-Seite zu Flash Player oder klicken mit der rechten Maustaste auf einen beliebigen Inhalt im Flash Player und wählen im Kontextmenü den Befehl „Über Adobe (bzw. Macromedia) Flash Player“. Wenn Sie mit mehreren Browsern arbeiten, führen Sie die Prüfung für jeden Browser aus.
Um die Versionsnummer Ihrer Adobe AIR-Installation herauszufinden, befolgen Sie die Anweisungen in der TechNote zu Adobe AIR.
Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:
Adobe empfiehlt Anwendern von Adobe Flash Player Desktop Runtime für Windows und Macintosh, das Update auf Adobe Flash Player 16.0.0.257 aus dem Download Center für Adobe Flash Player zu installieren oder die automatische Aktualisierungsfunktion zu nutzen, wenn sie bei der Verwendung des Produkts dazu aufgefordert werden.
Adobe empfiehlt Anwendern des Adobe Flash Player Extended Support Release das Update auf Version 13.0.0.260 von http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html.
Anwendern von Flash Player für Linux wird die Aktualisierung auf Version 11.2.202.429 empfohlen, die sie im Download Center für Adobe Flash Player herunterladen können.
Die Version von Adobe Flash Player in Google Chrome wird automatisch auf Adobe Flash Player 16.0.0.257 aktualisiert.
Die Version von Adobe Flash Player im Internet Explorer für Windows 8 wird automatisch auf Adobe Flash Player 16.0.0.257 aktualisiert.
Adobe empfiehlt Anwendern der Adobe AIR Desktop Runtime, das Update auf Version 16.0.0.245 aus dem Download Center für Adobe AIR zu installieren.
Adobe empfiehlt Anwendern des Adobe AIR SDK, das Update auf Version 16.0.0.272 aus dem Download Center für Adobe AIR zu installieren.
Adobe empfiehlt Anwendern von Adobe AIR SDK und Compiler, das Update auf Version 16.0.0.272 aus dem Download Center für Adobe AIR zu installieren.
Adobe empfiehlt Anwendern von Adobe AIR für Android, das Update auf Adobe AIR 16.0.0.272 aus dem Google Play Store zu installieren.
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:
| Produkt | Betroffene Versionen | Plattform | Priorität |
|---|---|---|---|
| Adobe Flash Player Desktop Runtime | 16.0.0.235 und früher |
Windows und Macintosh |
1 |
| Adobe Flash Player Extended Support Release | 13.0.0.259 und früher | Windows und Macintosh |
1 |
| Adobe Flash Player für Google Chrome | 16.0.0.235 und früher | Windows, Macintosh und Linux |
1 |
| Adobe Flash Player für Internet Explorer 10 und Internet Explorer 11 | 16.0.0.235 und früher | Windows 8.0 und 8.1 | 1 |
| Adobe Flash Player | 11.2.202.425 und früher | Linux | 3 |
| Adobe AIR SDK | 15.0.0.356 und früher | Windows, Macintosh, Android und iOS | 3 |
| Adobe AIR-SDK und Compiler | 15.0.0.356 und früher | Windows, Macintosh, Android und iOS | 3 |
| Adobe AIR für Android | 15.0.0.356 und früher | Android | 3 |
Diese Updates beheben kritische Sicherheitslücken in der Software.
Adobe hat Sicherheits-Updates für Adobe Flash Player für Windows, Macintosh und Linux veröffentlicht. Diese Updates beheben Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen. Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:
Anwendern der Adobe Flash Player Desktop Runtime für Windows und Macintosh wird das Update auf Adobe Flash Player 16.0.0.257 empfohlen.
Anwendern des Adobe Flash Player Extended Support Release wird das Update auf Adobe Flash Player 13.0.0.260 empfohlen.
Anwendern von Adobe Flash Player für Linux wird das Update auf Adobe Flash Player 11.2.202.429 empfohlen.
Adobe Flash Player in Google Chrome sowie Internet Explorer unter Windows 8.x werden automatisch auf Version 16.0.0.257.x aktualisiert.
Anwendern von Adobe AIR Desktop Runtime wird das Update auf Version 16.0.0.245 empfohlen.
Anwendern von Adobe AIR SDK und AIR SDK & Compiler wird das Update auf Version 16.0.0.272 empfohlen.
Anwendern von Adobe AIR für Android wird das Update auf Version 16.0.0.272 empfohlen.
Diese Updates beheben ein Problem mit ungültiger Dateivalidierung (CVE-2015-0301).
Diese Updates schließen eine Sicherheitslücke bei der Offenlegung von Informationen, die auf dem betroffenen System das Aufzeichnen von Tastenanschlägen ermöglichte (CVE-2015-0302).
Die Updates schließen Sicherheitslücken, die aufgrund eines beschädigten Speichers entstehen können und die Ausführung von Code ermöglichen (CVE-2015-0303, CVE-2015-0306).
Diese Updates schließen Sicherheitslücken, die aufgrund eines Heap-basierten Pufferüberlaufs entstehen und die Ausführung von Code ermöglichen (CVE-2015-0304, CVE-2015-0309).
Diese Updates schließen eine Sicherheitslücke, die aufgrund einer Typverwechslung entstehen kann und die Ausführung von Code ermöglicht (CVE-2015-0305).
Diese Updates schließen eine Out-of-Bounds Read-Sicherheitslücke, die ein Speicheradressenleck ermöglichte (CVE-2015-0307).
Die Updates schließen eine Sicherheitslücke, die durch Weiterverwendung nach Speicherfreigabe verursacht wird und die Ausführung von Code ermöglicht (CVE-2015-0308).
| Betroffene Software | Empfohlenes Player-Update | Verfügbarkeit | |
|---|---|---|---|
| Flash Player Desktop Runtime |
16.0.0.257 | ||
| Flash Player Extended Support Release | 13.0.0.260 | Erweiterter Support | |
| Flash Player für Linux | 11.2.202.429 | Flash Player Download Center | |
| Flash Player für Google Chrome | 16.0.0.257 |
Google Chrome-Update | |
| Flash Player für Internet Explorer 10 und Internet Explorer 11 | 16.0.0.257 |
Microsoft-Sicherheitsempfehlung | |
| AIR Desktop Runtime | 16.0.0.245 | Download-Center für AIR | |
| AIR SDK | 16.0.0.272 | Adobe AIR-SDK-Download | |
| AIR-SDK und Compiler | 16.0.0.272 | Adobe AIR-SDK-Download | |
| AIR für Android | 16.0.0.272 | Google Play |
Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:
Xiaoning Li von Intel Labs und Haifei Li vom McAfee Labs IPS-Team (CVE-2015-0301 und CVE-2015-0306)
Tavis Ormandy und Chris Evans von Google Project Zero (CVE-2015-0303)
bilou in Zusammenarbeit mit dem iDefense Vulnerability Contributor Program von Verisign (CVE-2015-0304)
Natalie Silvanovich in Zusammenarbeit mit Google Project Zero (CVE-2015-0305)
bilou in Zusammenarbeit mit der Zero Day Initiative von HP (CVE-2015-0307)
Fermin J. Serna vom Google Security Team und Chris Evans von Google Project Zero (CVE-2015-0308)
Yang Dingning in Zusammenarbeit mit dem Chromium Vulnerability Rewards Program (CVE-2015-0309)