Sicherheits-Updates für Adobe Flash Player

Freigabedatum: 14. April 2015

Letzte Aktualisierung: 11. August 2015

Kennung der Sicherheitslücke: APSB15-06

Priorität: Siehe Tabelle unten

CVE-Nummern: -2015-0346-2015-0347, -2015-0348, -2015-0349, -2015-0350, CVE-2015-0351, CVE-2015-0352, CVE-2015-0353, CVE-2015-0354, CVE-2015-0355, CVE-2015-0356, CVE-2015-0357, CVE-2015-0358, CVE-2015-0359, CVE-2015-0360, CVE-2015-3038, CVE-2015-3039, CVE-2015-3040, CVE-2015-3041, CVE-2015-3042, CVE-2015-3043, CVE-2015-3044 

Plattform: Alle Plattformen

Zusammenfassung

Adobe hat Sicherheits-Updates für Adobe Flash Player für Windows, Macintosh und Linux veröffentlicht.  Diese Updates beheben Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen.  

Adobe sind Fälle bekannt, dass ein Exploit-Code zu CVE-2015-3043 im Internet verfügbar ist, und empfiehlt Anwendern die Aktualisierung ihrer Produktinstallation auf die neueste Version: 

  • Anwendern der Adobe Flash Player Desktop Runtime für Windows und Macintosh wird das Update auf Adobe Flash Player 17.0.0.169 empfohlen. 
  • Anwendern des Adobe Flash Player Extended Support Release wird das Update auf Adobe Flash Player 13.0.0.281 empfohlen. 
  • Anwendern von Adobe Flash Player für Linux wird das Update auf Adobe Flash Player 11.2.202.457 empfohlen. 
  • Adobe Flash Player in Google Chrome sowie Internet Explorer unter Windows 8.x werden automatisch auf Version 17.0.0.169 aktualisiert, sobald diese verfügbar ist. 
  • Anwendern von Adobe AIR Desktop Runtime wird das Update auf Version 17.0.0.172 empfohlen.
  • Anwendern von Adobe AIR SDK und AIR SDK & Compiler wird das Update auf Version 17.0.0.172 empfohlen.

Betroffene Softwareversionen

  • Adobe Flash Player 17.0.0.134 und frühere Versionen
  • Adobe Flash Player 13.0.0.277 und frühere 13.x-Versionen
  • Adobe Flash Player 11.2.202.451 und frühere 11.x-Versionen
  • AIR Desktop Runtime 17.0.0.144 und frühere Versionen
  • AIR SDK und SDK & Compiler 17.0.0.144 und frühere Versionen 

Um die Versionsnummer Ihrer Adobe Flash Player-Installation herauszufinden, öffnen Sie entweder die Info-Seite zu Flash Player oder klicken mit der rechten Maustaste auf einen beliebigen Inhalt im Flash Player und wählen im Kontextmenü den Befehl „Über Adobe (bzw. Macromedia) Flash Player“. Wenn Sie mit mehreren Browsern arbeiten, führen Sie die Prüfung für jeden Browser aus.

Um die Versionsnummer Ihrer Adobe AIR-Installation herauszufinden, befolgen Sie die Anweisungen in der TechNote zu Adobe AIR.

Lösung

Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren: 

  • Adobe empfiehlt Anwendern von Adobe Flash Player Desktop Runtime für Windows und Macintosh, das Update auf Adobe Flash Player 17.0.0.169 aus dem Download Center für Adobe Flash Player zu installieren oder die automatische Aktualisierungsfunktion zu nutzen, wenn sie bei der Verwendung des Produkts dazu aufgefordert werden. 

  • Adobe empfiehlt Anwendern des Adobe Flash Player Extended Support Release das Update auf Version 13.0.0.281 über http://helpx.adobe.com/de/flash-player/kb/archived-flash-player-versions.html

  • Anwendern von Flash Player für Linux wird das Update auf Version 11.2.202.457 empfohlen, das sie vom _deDownload Center für Adobe Flash Player herunterladen können. 

  • Die Version von Adobe Flash Player in Google Chrome wird automatisch auf Adobe Flash Player 17.0.0.169 aktualisiert. 

  • Die Version von Adobe Flash Player im Internet Explorer für Windows 8 wird automatisch auf Adobe Flash Player 17.0.0.169 aktualisiert, sobald diese verfügbar ist.

  • Adobe empfiehlt Anwendern von Adobe AIR Desktop Runtime das Update auf Version 17.0.0.172, das sie vom Download Center für Adobe AIR herunterladen können.  

  • Adobe empfiehlt Anwendern von Adobe AIR SDK das Update auf Version 17.0.0.172, das sie vom Download Center für Adobe AIR herunterladen können.  

  • Adobe empfiehlt Anwendern von Adobe AIR SDK und Compiler das Update auf Version 17.0.0.172, das sie vom Download Center für Adobe AIR herunterladen können.

Priorität und Schweregrad

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

Produkt Betroffene Versionen Plattform Priorität
Adobe Flash Player Desktop Runtime 17.0.0.134 und früher
Windows und Macintosh
1
Adobe Flash Player Extended Support Release 13.0.0.277 und früher Windows und Macintosh
1
Adobe Flash Player für Google Chrome  17.0.0.134 und früher Windows, Macintosh und Linux
1
Adobe Flash Player für Internet Explorer 10 und Internet Explorer 11 17.0.0.134 und früher Windows 8.0 und 8.1 1
Adobe Flash Player 11.2.202.451 und früher Linux 3
AIR Desktop Runtime 17.0.0.144 und früher Windows und Macintosh 3
AIR SDK 17.0.0.144 und früher Windows, Macintosh, Android und iOS 3
AIR SDK & Compiler 17.0.0.144 und früher Windows, Macintosh, Android und iOS  3

Diese Updates beheben kritische Sicherheitslücken in der Software.

Details

Adobe hat Sicherheits-Updates für Adobe Flash Player für Windows, Macintosh und Linux veröffentlicht.  Diese Updates beheben Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen. 

Adobe sind Fälle bekannt, dass ein Exploit-Code zu CVE-2015-3043 im Internet verfügbar ist, und empfiehlt Anwendern die Aktualisierung ihrer Produktinstallation auf die neueste Version: 

  • Anwendern der Adobe Flash Player Desktop Runtime für Windows und Macintosh wird das Update auf Adobe Flash Player 17.0.0.169 empfohlen.

  • Anwendern des Adobe Flash Player Extended Support Release wird das Update auf Adobe Flash Player 13.0.0.281 empfohlen.

  • Anwendern von Adobe Flash Player für Linux wird das Update auf Adobe Flash Player 11.2.202.457 empfohlen.

  • Adobe Flash Player in Google Chrome sowie Internet Explorer unter Windows 8.x werden automatisch auf Version 17.0.0.169 aktualisiert, sobald diese verfügbar ist.

  • Anwendern von Adobe AIR Desktop Runtime wird das Update auf Version 17.0.0.172 empfohlen.

  • Anwendern von Adobe AIR SDK und AIR SDK & Compiler wird das Update auf Version 17.0.0.172 empfohlen.

Die Updates schließen Sicherheitslücken, die aufgrund eines beschädigten Speichers entstehen können und die Ausführung von Code ermöglichen (-2015-, CVE-0347, CVE-2015-0350, CVE-2015-0352, CVE-2015-0353, CVE-2015-0354, CVE-2015-0355, CVE-2015-0360, CVE-2015-3038, CVE-2015-3041, CVE-2015-3042, CVE-2015-3043). 

Diese Updates schließen eine Sicherheitslücke, die aufgrund einer „Type Confusion“ entstehen kann und die Ausführung von Code ermöglicht (CVE-2015-0356). 

Diese Updates schließen eine Sicherheitslücke, die aufgrund eines Pufferüberlaufs entsteht und die Ausführung von Code ermöglicht (CVE-2015-0348). 

Diese Updates schließen Sicherheitslücken, die durch Weiterverwendung nach Speicherfreigabe verursacht werden und die Ausführung von Code ermöglichen (CVE-2015-0349, CVE-2015-0351, CVE-2015-0358, CVE-2015-3039). 

Diese Updates schließen Sicherheitslücken, die durch mehrfache Freigabe des gleichen Speicherbereichs verursacht werden und die Ausführung von Code ermöglichen (CVE-2015-0346, CVE-2015-0359). 

Diese Updates schließen Sicherheitslücken, die durch ein Speicherleck entstehen und mit denen ASLR umgangen werden konnte (CVE-2015-0357, CVE-2015-3040).  

Diese Updates schließen eine Sicherheitslücke, die Angreifern das Umgehen von Sicherheitsabfragen und die Offenlegung von Informationen ermöglicht (CVE-2015-3044). 

Betroffene Software   Empfohlenes Player-Update Verfügbarkeit
Flash Player Desktop Runtime
  17.0.0.169

Flash Player Download Center

Weiterverteilung von Flash Player

Flash Player Extended Support Release   13.0.0.281 Erweiterter Support
Flash Player für Linux   11.2.202.457 Flash Player Download Center
Flash Player für Google Chrome   17.0.0.169 Google Chrome-Update
Flash Player für Internet Explorer 10 und Internet Explorer 11   17.0.0.169
Microsoft-Sicherheitsempfehlung
AIR Desktop Runtime   17.0.0.172 Download-Center für AIR
AIR SDK   17.0.0.172 Adobe AIR-SDK-Download
AIR SDK & Compiler   17.0.0.172 Adobe AIR-SDK-Download

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:

  • Anonym (CVE-2015-3043)
  • bilou in Zusammenarbeit mit dem Chromium Vulnerability Reward Program (CVE-2015-0357, CVE-2015-0358, CVE-2015-0359)  
  • Chris Evans von Google Project Zero (CVE-2015-0348, CVE-2015-0352, CVE-2015-0353, CVE-2015-0354, CVE-2015-0355, CVE-2015-0360)

  • instruder vom Alibaba Security Research Team (CVE-2015-3038)

  • Jihui Lu von KeenTeam (@K33nTeam) in Zusammenarbeit mit dem Chromium Vulnerability Reward Program (CVE-2015-0351, CVE-2015-3040, CVE-2015-3041)

  • Jouko Pynnönen von Klikki Oy (CVE-2015-0346, CVE-2015-3044)

  • Michele Spagnoulo vom Google Security Team und Mark Brand von Google Project Zero (CVE-2015-3042)

  • Natalie Silvanovich in Zusammenarbeit mit Google Project Zero (CVE-2015-0356)

  • Natalie Silvanovich in Zusammenarbeit mit Google Project Zero und bilou in Zusammenarbeit mit der Zero Day Initiative von HP (CVE-2015-3039)

Historie

12. Mai 2015: Es wurden Versionen von Adobe AIR hinzugefügt, die die in diesem Bulletin aufgeführten CVEs beheben. 

3. Juli 2015: Eine Danksagung an bilou in Zusammenarbeit mit der Zero Day Initiative von HP für das Melden von CVE-2015-3039 wurde hinzugefügt.