Sicherheits-Updates für Adobe Flash Player

Freigabedatum: 9. Juni 2015

Letzte Aktualisierung: 3. Juli 2015

Kennung der Sicherheitslücke: APSB15-11

Priorität: Siehe Tabelle unten

CVE-Nummern: CVE-2015-3096, CVE-2015-3097, CVE-2015-3098, CVE-2015-3099, CVE-2015-3100, CVE-2015-3101, CVE-2015-3102, CVE-2015-3103, CVE-2015-3104, CVE-2015-3105, CVE-2015-3106, CVE-2015-3107, CVE-2015-3108, CVE-2015-5120

Plattform: Alle Plattformen

Zusammenfassung

Adobe hat Sicherheits-Updates für Adobe Flash Player für Windows, Macintosh und Linux veröffentlicht.  Diese Updates beheben Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen.  Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:

  • Anwendern der Adobe Flash Player Desktop Runtime für Windows und Macintosh wird das Update auf Adobe Flash Player 18.0.0.160 empfohlen.
  • Anwendern des Adobe Flash Player Extended Support Release für Windows und Macintosh wird das Update auf Adobe Flash Player 13.0.0.292 empfohlen. *
  • Anwendern von Adobe Flash Player für Linux wird das Update auf Adobe Flash Player 11.2.202.466 empfohlen.
  • Die Version von Adobe Flash Player in Google Chrome wird automatisch auf Version 18.0.0.160 (Windows und Linux) bzw. 18.0.0.161 (Macintosh) aktualisiert. 
  • Die Version von Adobe Flash Player im Internet Explorer für Windows 8 wird automatisch auf Version 18.0.0.160 aktualisiert.
  • Anwendern von Adobe AIR Desktop Runtime wird das Update auf Version 18.0.0.143 (Macintosh) bzw. 18.0.0.144 (Windows) empfohlen.
  • Anwendern von Adobe AIR SDK und AIR SDK & Compiler wird das Update auf Version 18.0.0.143 (Macintosh) bzw. 18.0.0.144 (Windows) empfohlen. 
  • Anwendern von Adobe AIR für Android wird das Update auf Version 18.0.0.143 empfohlen. 

Betroffene Softwareversionen

  • Adobe Flash Player 17.0.0.188 und frühere Versionen für Windows und Macintosh
  • Adobe Flash Player Extended Support Release 13.0.0.289 und frühere 13.x-Versionen für Windows und Macintosh
  • Adobe Flash Player 11.2.202.460 und frühere 11.x-Versionen für Linux
  • Adobe AIR Desktop Runtime 17.0.0.172 und frühere Versionen für Windows und Macintosh
  • Adobe AIR SDK und SDK & Compiler 17.0.0.172 und frühere Versionen für Windows und Macintosh
  • Adobe AIR für Android 17.0.0.144 und frühere Versionen

Um die Versionsnummer Ihrer Adobe Flash Player-Installation herauszufinden, öffnen Sie entweder die Info-Seite zu Flash Player oder klicken mit der rechten Maustaste auf einen beliebigen Inhalt im Flash Player und wählen im Kontextmenü den Befehl „Über Adobe (bzw. Macromedia) Flash Player“. Wenn Sie mit mehreren Browsern arbeiten, führen Sie die Prüfung für jeden Browser aus.

Um die Versionsnummer Ihrer Adobe AIR-Installation herauszufinden, befolgen Sie die Anweisungen in der TechNote zu Adobe AIR.

Lösung

Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:

  • Adobe empfiehlt Anwendern von Adobe Flash Player Desktop Runtime für Windows und Macintosh, das Update auf Adobe Flash Player 18.0.0.160 aus dem _deDownload Center für Adobe Flash Player zu installieren oder die automatische Aktualisierungsfunktion zu nutzen, wenn sie bei der Verwendung des Produkts dazu aufgefordert werden.
  • Adobe empfiehlt Anwendern des Adobe Flash Player Extended Support Release das Update auf Version 13.0.0.292 von http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html.*
  • Anwendern von Flash Player für Linux wird das Update auf Version 11.2.202.466 empfohlen, das sie aus dem Download Center für Adobe Flash Player herunterladen können.
  • Die Version von Flash Player in Google Chrome wird automatisch auf die neueste Version für Google Chrome aktualisiert, die Adobe Flash Player 18.0.0.160 (Windows und Linux) und 18.0.0.161 (Macintosh) enthält.
  • Die Version von Adobe Flash Player im Internet Explorer für Windows 8 wird automatisch auf Adobe Flash Player 18.0.0.160 aktualisiert.
  • Adobe empfiehlt Anwendern von Adobe AIR Desktop Runtime das Update auf Version 18.0.0.143 (Macintosh) und 18.0.0.144 (Windows), das sie aus dem Download Center für Adobe AIR herunterladen können. 
  • Adobe empfiehlt Anwendern von Adobe AIR SDK und AIR SDK & Compiler das Update auf Version 18.0.0.143 (Macintosh) und 18.0.0.144 (Windows), das sie aus dem Download Center für Adobe AIR herunterladen können. 
  • Adobe empfiehlt Anwendern von Adobe AIR für Android das Update auf Version 18.0.0.143, indem sie die neueste Version aus dem Google Play Store herunterladen. 

* Hinweis: Ab dem 11. August 2015 aktualisiert Adobe die Version des „Extended Support Release“ von Flash Player 13 auf Flash Player 18 für Macintosh und Windows.  Um auf alle verfügbaren Sicherheitsaktualisierungen zugreifen zu können, müssen Anwender Version 18 des Flash Player Extended Support Release installieren oder auf die neueste verfügbare Version aktualisieren. Umfassende Informationen finden Sie in diesem Blog-Post

Priorität und Schweregrad

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

Produkt Betroffene Versionen Plattform Priorität
Adobe Flash Player Desktop Runtime 17.0.0.188 und früher
Windows und Macintosh
1
Adobe Flash Player Extended Support Release 13.0.0.289 und früher Windows und Macintosh
1
Adobe Flash Player für Google Chrome  17.0.0.188 und früher Windows, Macintosh und Linux
1
Adobe Flash Player für Internet Explorer 10 und Internet Explorer 11 17.0.0.188 und früher Windows 8.0 und 8.1 1
Adobe Flash Player 11.2.202.460 und früher Linux 3
AIR Desktop Runtime 17.0.0.172 und früher Windows und Macintosh  3
AIR SDK 17.0.0.172 und früher Windows, Macintosh, Android und iOS  3
AIR SDK & Compiler 17.0.0.172 und früher Windows, Macintosh, Android und iOS  3
AIR für Android 17.0.0.144 und früher Android 3

Diese Updates beheben kritische Sicherheitslücken in der Software.

Details

Adobe hat Sicherheits-Updates für Adobe Flash Player für Windows, Macintosh und Linux veröffentlicht.  Diese Updates beheben Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen.  Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren: 

  • Anwendern der Adobe Flash Player Desktop Runtime für Windows und Macintosh wird das Update auf Adobe Flash Player 18.0.0.160 empfohlen. 
  • Anwendern des Adobe Flash Player Extended Support Release für Windows und Macintosh wird das Update auf Adobe Flash Player 13.0.0.292 empfohlen.  
  • Anwendern von Adobe Flash Player für Linux wird das Update auf Adobe Flash Player 11.2.202.466 empfohlen. 
  • Die Version von Adobe Flash Player in Google Chrome wird automatisch auf Version 18.0.0.160 (Windows und Linux) bzw. 18.0.0.161 (Macintosh) aktualisiert.  
  • Die Version von Adobe Flash Player im Internet Explorer für Windows 8 wird automatisch auf Version 18.0.0.160 aktualisiert. 
  • Anwendern von Adobe AIR Desktop Runtime wird das Update auf Version 18.0.0.143 (Macintosh) bzw. 18.0.0.144 (Windows) empfohlen. 
  • Anwendern von Adobe AIR SDK und AIR SDK & Compiler wird das Update auf Version 18.0.0.143 (Macintosh) bzw. 18.0.0.144 (Windows) empfohlen.  
  • Anwendern von Adobe AIR für Android wird das Update auf Version 18.0.0.143 empfohlen.

Diese Updates schließen eine Sicherheitslücke (CVE-2015-3096), mit der die Problembehebung für CVE-2014-5333 umgangen werden konnte. 

Diese Updates verbessern die Memory Address Randomization des Flash-Heaps für die Windows 7 64-Bit-Plattform (CVE-2015-3097). 

Diese Updates schließen Sicherheitslücken, die dazu genutzt werden konnten, die Same-Origin-Policy zu umgehen, was zur Informationspreisgabe führte (CVE-2015-3098, CVE-2015-3099, CVE-2015-3102).  

Diese Updates schließen eine Sicherheitslücke, die aufgrund eines Stapelüberlaufs entsteht und die Ausführung von Code ermöglicht (CVE-2015-3100).

Diese Updates beheben ein Berechtigungsproblem im Flash-Broker für den Internet Explorer, das dazu genutzt werden konnte, die Rechteausweitung vom Integritätslevel „niedrig“ auf „mittel“ auszudehnen (CVE-2015-3101).    

Diese Updates schließen eine Sicherheitslücke, die aufgrund eines Ganzzahlüberlaufs entsteht und die Ausführung von Code ermöglicht (CVE-2015-3104).

Diese Updates schließen eine Sicherheitslücke, die aufgrund eines beschädigten Speichers entstehen kann und die Ausführung von Code ermöglicht (CVE-2015-3105, CVE-2015-5120).

Diese Updates schließen Sicherheitslücken, die durch Weiterverwendung nach Speicherfreigabe verursacht werden und die Ausführung von Codes (CVE-2015-3103, CVE-2015-3106, CVE-2015-3107) ermöglichen.

Diese Updates schließen eine Sicherheitslücke, die durch ein Speicherleck entsteht und mit der ASLR (CVE-2015-3108) umgangen werden konnte. 

Betroffene Software   Empfohlenes Player-Update Verfügbarkeit
Flash Player Desktop Runtime
  18.0.0.160

Flash Player Download Center

Weiterverteilung von Flash Player

Flash Player Extended Support Release   13.0.0.292 Erweiterter Support
Flash Player für Linux   11.2.202.466 Flash Player Download Center
Flash Player für Google Chrome  

18.0.0.160 (Windows und Linux)

18.0.0.161 (Macintosh)

Google Chrome-Update
Flash Player für Internet Explorer 10 und Internet Explorer 11   18.0.0.160
Microsoft-Sicherheitsempfehlung
AIR Desktop Runtime  

18.0.0.143 (Macintosh)

18.0.0.144 (Windows)

Download-Center für AIR
AIR SDK  

18.0.0.143 (Macintosh)

18.0.0.144 (Windows)

Adobe AIR-SDK-Download
AIR SDK & Compiler  

18.0.0.143 (Macintosh)

18.0.0.144 (Windows)

Adobe AIR-SDK-Download
AIR für Android   18.0.0.143 Google Play

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:

  • bilou in Zusammenarbeit mit dem Chromium Vulnerability Reward Program (CVE-2015-3106)  
  • Chris Evans (Google Project Zero) (CVE-2015-3097, CVE-2015-3104, CVE-2015-3105, CVE-2015-3108)
  • Haifei Li vom McAfee Labs IPS-Team (CVE-2015-3100) 
  • 李普君 (Pujun Li)/PKAV-Team (pkav.net) (CVE-2015-3102)
  • Malte Batram (CVE-2015-3098, CVE-2015-3099)  
  • Natalie Silvanovich von Google Project Zero (CVE-2015-3107)
  • Tomas Polesovsky (CVE-2015-3096) 
  • Wen Guanxing von Venustech ADLAB (CVE-2015-3103)
  • Linan Hao vom Vulcan Team bei Qihoo 360 (CVE-2015-5120)

Historie

3. Februar 2015: Ein Verweis auf die Sicherheitslücke CVE-2015-5120 wurde hinzugefügt, die durch dieses Update behoben, aber versehentlich nicht im Bulletin aufgeführt wurde.