Adobe-Sicherheitsbulletin

Freigabedatum: 12. Mai 2015

Letzte Aktualisierung: 3. Juli 2015

Kennung der Sicherheitslücke: APSB15-09

Priorität: Siehe Tabelle unten

CVE-Nummer: CVE-2015-3044, CVE-2015-3077, CVE-2015-3078, CVE-2015-3079, CVE-2015-3080, CVE-2015-3081, CVE-2015-3082, CVE-2015-3083, CVE-2015-3084, CVE-2015-3085, CVE-2015-3086, CVE-2015-3087, CVE-2015-3088, CVE-2015-3089, CVE-2015-3090, CVE-2015-3091, CVE-2015-3092, CVE-2015-3093

Plattform: Alle Plattformen

Adobe hat Sicherheits-Updates für Adobe Flash Player für Windows, Macintosh und Linux veröffentlicht. Diese Updates beheben Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen. Adobe empfiehlt Anwendern das Update ihrer Produktinstallationen auf die neuesten Versionen:

• Anwendern der Adobe Flashplayer Desktop Runtime für Windows und Macintosh wird das Update auf Adobe Flash Player 17.0.0.188 empfohlen.
• Anwendern des Adobe Flash Player Extended Support Release wird das Update auf Adobe Flash Player 13.0.0.289 empfohlen.
• Anwendern von Adobe Flash Player für Linux wird das Update auf Adobe Flash Player 11.2.202.460 empfohlen.
• Adobe Flash Player in Google Chrome sowie Internet Explorer unter Windows 8.x werden automatisch auf Version 17.0.0.188 aktualisiert.
• Anwendern von Adobe AIR Desktop Runtime wird das Update auf Version 17.0.0.172 empfohlen.
• Anwendern von Adobe AIR SDK und AIR SDK & Compiler wird das Update auf Version 17.0.0.172 empfohlen.

• Adobe Flash Player 17.0.0.169 und frühere Versionen
• Adobe Flash Player 13.0.0.281 und frühere 13.x-Versionen
• Adobe Flash Player 11.2.202.457 und frühere 11.x-Versionen
• AIR Desktop Runtime 17.0.0.144 und frühere Versionen
• AIR SDK und SDK & Compiler 17.0.0.144 und frühere Versionen 

Um die Versionsnummer Ihrer Adobe Flash Player-Installation herauszufinden, öffnen Sie entweder die Info-Seite zu Flash Player oder klicken mit der rechten Maustaste auf einen beliebigen Inhalt im Flash Player und wählen im Kontextmenü den Befehl „Über Adobe (bzw. Macromedia) Flash Player“. Wenn Sie mit mehreren Browsern arbeiten, führen Sie die Prüfung für jeden Browser aus.

Um die Versionsnummer Ihrer Adobe AIR-Installation herauszufinden, befolgen Sie die Anweisungen in der TechNote zu Adobe AIR.

Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren: 

• Adobe empfiehlt Anwendern von Adobe Flash Player Desktop Runtime für Windows und Macintosh, das Update auf Adobe Flash Player 17.0.0.188 aus dem Download Center für Adobe Flash Player zu installieren oder die automatische Aktualisierungsfunktion zu nutzen, wenn sie bei der Verwendung des Produkts dazu aufgefordert werden. 

• Adobe empfiehlt Anwendern des Adobe Flash Player Extended Support Release das Update auf Version 13.0.0.289 über http://helpx.adobe.com/de/flash-player/kb/archived-flash-player-versions.html. 

• Anwendern von Flash Player für Linux wird das Update auf Version 11.2.202.460 empfohlen, das sie vom _deDownload Center für Adobe Flash Player herunterladen können. 

• Die Version von Adobe Flash Player in Google Chrome wird automatisch auf Adobe Flash Player 17.0.0.188 aktualisiert. 

• Die Version von Adobe Flash Player im Internet Explorer für Windows 8 wird automatisch auf Adobe Flash Player 17.0.0.188 aktualisiert. 

• Adobe empfiehlt Anwendern von Adobe AIR Desktop Runtime das Update auf Version 17.0.0.172, das sie vom Download Center für Adobe AIR herunterladen können.  

• Adobe empfiehlt Anwendern von Adobe AIR SDK das Update auf Version 17.0.0.172, das sie vom Download Center für Adobe AIR herunterladen können.  

• Adobe empfiehlt Anwendern von Adobe AIR SDK und Compiler das Update auf Version 17.0.0.172, das sie vom Download Center für Adobe AIR herunterladen können.

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

Diese Updates beheben kritische Sicherheitslücken in der Software.

Adobe hat Sicherheits-Updates für Adobe Flash Player für Windows, Macintosh und Linux veröffentlicht.  Diese Updates beheben Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen.  Adobe empfiehlt Anwendern das Update ihrer Produktinstallationen auf die neuesten Versionen:

• Anwendern der Adobe Flash Player Desktop Runtime für Windows und Macintosh wird das Update auf Adobe Flash Player 17.0.0.188 empfohlen.

• Anwendern des Adobe Flash Player Extended Support Release wird das Update auf Adobe Flash Player 13.0.0.289 empfohlen.

• Anwendern von Adobe Flash Player für Linux wird das Update auf Adobe Flash Player 11.2.202.460 empfohlen.

• Adobe Flash Player in Google Chrome sowie Internet Explorer unter Windows 8.x werden automatisch auf Version 17.0.0.188 aktualisiert.

• Anwendern von Adobe AIR Desktop Runtime wird das Update auf Version 17.0.0.172 empfohlen.

• Anwendern von Adobe AIR SDK und AIR SDK & Compiler wird das Update auf Version 17.0.0.172 empfohlen.

Diese Updates schließen Sicherheitslücken, die aufgrund eines beschädigten Speichers entstehen können und die Ausführung der Codes (CVE-2015-3078, CVE-2015-3089, CVE-2015-3090, CVE-2015-3093) ermöglichen.

Diese Updates schließen eine Sicherheitslücke, die aufgrund eines Heap-Überlaufs entsteht und die Ausführung von Code (CVE-2015-3088) ermöglicht. 

Diese Updates lösen ein Time-of-Check-to-Time-of-Use-Problem (TOCTTOU), das dazu genutzt werden könnte, den Protected Mode im Internet Explorer zu umgehen (CVE-2015-3081). 

Diese Updates verhindern das Umgehen der Validierung, das dazu führen könnte, dass willkürliche Daten mit Benutzerberechtigung in das Datensystem überschrieben werden (CVE-2015-3082, CVE-2015-3083, CVE-2015-3085).  

Diese Updates schließen eine Sicherheitslücke, die aufgrund eines Ganzzahlüberlaufs entsteht und die Ausführung von Code (CVE-2015-3087) ermöglicht. 

Diese Updates schließen eine Sicherheitslücke, die durch eine „Type Confusion“ verursacht wird und die Ausführung von Code (CVE-2015-3086) ermöglicht.

Diese Updates schließen eine Sicherheitslücke, die durch Weiterverwendung nach Speicherfreigabe verursacht wird und die Ausführung von Code (CVE-2015-3080) ermöglicht.

Diese Updates schließen Sicherheitslücken, die durch ein Speicherleck entstehen und mit denen ASLR umgangen werden konnte (CVE-2015-3091, CVE-2015-3092). 

Diese Updates schließen eine Sicherheitslücke, die versucht, die Sicherheit gänzlich zu umgehen, wodurch eine Informationspreisgabe entstehen könnte (CVE-2015-3079). Außerdem wird zusätzliches Härten bereitgestellt, zum Schutz gegen den Code CVE-2015-3044. 

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:

• bilou in Zusammenarbeit mit dem Chromium Vulnerability Reward Program (CVE-2015-3080, CVE-2015-3093, CVE-2015-3089, CVE-2015-3087, CVE-2015-3088)   

• Chris Evans von Google Project Zero (CVE-2015-3078, CVE-2015-3090, CVE-2015-3091, CVE-2015-3092)

• Jietao Yang und Jihui Lu von KeenTeam (@K33nTeam) (CVE-2015-3083)  

• Jietao Yang von KeenTeam (@K33nTeam) (CVE-2015-3082) 

• Jihui Lu von KeenTeam (@K33nTeam) (CVE-2015-3081) 

• Jouko Pynnönen von Klikki Oy und Bas Venis (CVE-2015-3044, CVE-2015-3079)

• Natalie Silvanovich von Google Project Zero (CVE-2015-3077, CVE-2015-3084, CVE-2015-3086) 

• Nicolas Joly in Zusammenarbeit mit der Zero Day Initiative von HP (CVE-2015-3085)

3. Juli 2015: Eine Danksagung an Bas Venis für das separate Melden von CVE-2015-3044 und CVE-2015-3079 wurde hinzugefügt.