Sicherheits-Updates für Adobe Flash Player

Freigabedatum: 8. Juli 2015

Letzte Aktualisierung: 17. Juli 2015

Kennung der Sicherheitslücke: APSB15-16

Priorität: Siehe Tabelle unten

CVE-Nummern: CVE-2014-0578, CVE-2015-3097, CVE-2015-3114, CVE-2015-3115, CVE-2015-3116, CVE-2015-3117, CVE-2015-3118, CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-3123, CVE-2015-3124, CVE-2015-3125, CVE-2015-3126, CVE-2015-3127, CVE-2015-3128, CVE-2015-3129, CVE-2015-3130, CVE-2015-3131, CVE-2015-3132, CVE-2015-3133, CVE-2015-3134, CVE-2015-3135, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428, CVE-2015-4429, CVE-2015-4430, CVE-2015-4431, CVE-2015-4432, CVE-2015-4433, CVE-2015-5116, CVE-2015-5117, CVE-2015-5118, CVE-2015-5119, CVE-2015-5124

Plattform: Alle Plattformen

Zusammenfassung

Adobe hat Sicherheitsupdates für Adobe Flash Player für Windows, Macintosh und Linux veröffentlicht. Diese Updates beheben kritische Sicherheitslücken, die einem Angreifer die Übernahme des betroffenen Systems ermöglichen. Adobe ist darüber informiert, dass ein Exploit, der CVE-2015-5119 ausnutzt, öffentlich gemacht wurde.

Betroffene Versionen

Produkt Betroffene Versionen Plattform
Adobe Flash Player Desktop Runtime 18.0.0.194 und früher
Windows und Macintosh
Adobe Flash Player Extended Support Release 13.0.0.296 und früher Windows und Macintosh
Adobe Flash Player für Google Chrome  18.0.0.194 und früher Windows, Macintosh und Linux
Adobe Flash Player für Internet Explorer 10 und Internet Explorer 11 18.0.0.194 und früher Windows 8.0 und 8.1
Adobe Flash Player 11.2.202.468 und früher Linux
AIR Desktop Runtime 18.0.0.144 und früher Windows und Macintosh
AIR SDK 18.0.0.144 und früher Windows, Macintosh, Android und iOS
AIR SDK & Compiler 18.0.0.144 und früher Windows, Macintosh, Android und iOS
  • Um die Versionsnummer Ihrer Adobe Flash Player-Installation herauszufinden, öffnen Sie entweder die Info-Seite zu Flash Player oder klicken mit der rechten Maustaste auf einen beliebigen Inhalt im Flash Player und wählen im Kontextmenü den Befehl „Über Adobe (bzw. Macromedia) Flash Player“. Wenn Sie mit mehreren Browsern arbeiten, führen Sie die Prüfung für jeden Browser aus.  
  • Um die Versionsnummer Ihrer Adobe AIR-Installation herauszufinden, befolgen Sie die Anweisungen in der TechNote zu Adobe AIR

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:

Produkt Aktualisierte Versionen Plattform Priorität
Verfügbarkeit
Flash Player Desktop Runtime
18.0.0.203 Windows und Macintosh
1 Flash Player Download Center  Weiterverteilung von Adobe Flash Player
Flash Player Extended Support Release 13.0.0.302 Windows und Macintosh
1 Erweiterter Support
Flash Player für Linux 11.2.202.481 Linux 3 Flash Player Download Center
Flash Player für Google Chrome 18.0.0.203  Windows und Macintosh    1 Google Chrome-Update
Flash Player für Google Chrome 18.0.0.204 Linux 3 Google Chrome-Update
Flash Player für Internet Explorer 10 und Internet Explorer 11 18.0.0.203 Windows 8.0 und 8.1
1 Microsoft-Sicherheitsempfehlung
AIR Desktop Runtime 18.0.0.180 Windows und Macintosh 3 Download-Center für AIR
AIR SDK 18.0.0.180 Windows, Macintosh, Android und iOS 3 Adobe AIR-SDK-Download
AIR SDK & Compiler 18.0.0.180 Windows, Macintosh, Android und iOS 3 Adobe AIR-SDK-Download
  • Adobe empfiehlt Anwendern von Adobe Flash Player Desktop Runtime für Windows und Macintosh, das Update auf Adobe Flash Player 18.0.0.203 aus dem _deDownload Center für Adobe Flash Player zu installieren oder die automatische Aktualisierungsfunktion zu nutzen, wenn sie bei der Verwendung des Produkts dazu aufgefordert werden [1].
  • Adobe empfiehlt Anwendern des Adobe Flash Player Extended Support Release [2] das Update auf Version 13.0.0.302 über http://helpx.adobe.com/de/flash-player/kb/archived-flash-player-versions.html.
  • Anwendern von Flash Player für Linux wird das Update auf Version 11.2.202.481 empfohlen, das sie aus dem Download Center für Adobe Flash Player herunterladen können.
  • Die Version von Adobe Flash Player  in Google Chrome wird automatisch auf die aktuellste Google Chrome-Version aktualisiert, die Adobe Flash Player 18.0.0.203 für Windows und Macintosh und Flash Player 18.0.0.204 für Linux enthält.
  • Die Version von Adobe Flash Player im Internet Explorer für Windows 8 wird automatisch auf Adobe Flash Player 18.0.0.203 aktualisiert.
  • Rufen Sie die Seite Hilfe zu Flash Player auf, um Informationen zur Installation von Flash Player zu erhalten.
 
[1] Anwender von Flash Player 11.2.x oder höher für Windows und Flash Player 11.3.x oder höher für Macintosh, die die Option zur automatischen Installation aktiviert haben, erhalten das Update automatisch. Anwender, die die Option zur automatischen Installation von Updates nicht aktiviert haben, können die Aktualisierung vom Produkt aus nutzen.
 
[2] Hinweis: Ab dem 11. August 2015 aktualisiert Adobe die Version des „Extended Support Release“ von Flash Player 13 auf Flash Player 18 für Macintosh und Windows. Um auf alle verfügbaren Sicherheitsaktualisierungen zugreifen zu können, müssen Anwender Version 18 des Flash Player Extended Support Release installieren oder auf die neueste verfügbare Version aktualisieren. Die vollständigen Informationen finden Sie in diesem Blogbeitrag: http://blogs.adobe.com/flashplayer/2015/05/upcoming-changes-to-flash-players-extended-support-release-2.html

Details zu Sicherheitslücken

  • Diese Updates verbessern die Memory Address Randomization des Flash-Heaps für die Windows 7 64-Bit-Plattform (CVE-2015-3097).
  • Diese Updates schließen Sicherheitslücken, die aufgrund eines Heap-Pufferüberlaufs entstehen können und die Ausführung von Code ermöglichen (CVE-2015-3135, CVE-2015-4432, CVE-2015-5118).
  • Diese Updates schließen Sicherheitslücken, die aufgrund eines beschädigten Speichers entstehen können und die Ausführung von Code ermöglichen (CVE-2015-3117, CVE-2015-3123, CVE-2015-3130, CVE-2015-3133, CVE-2015-3134, CVE-2015-4431, CVE-2015-5124).
  • Diese Updates beheben Probleme mit Nullzeiger-Dereferenzierungen (CVE-2015-3126, CVE-2015-4429).
  • Diese Updates schließen eine Sicherheitslücke, die Angreifern das Umgehen von Sicherheitsabfragen und die Offenlegung von Informationen ermöglicht (CVE-2015-3114).
  • Diese Updates schließen Sicherheitslücken, die aufgrund von Typverwechslungen entstehen können und die Ausführung von Code ermöglichen (CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-4433).
  • Diese Updates schließen Use-after-free-Sicherheitslücken, die Ausführung von Code ermöglichen (CVE-2015-3118, CVE-2015-3124, CVE-2015-5117, CVE-2015-3127, CVE-2015-3128, CVE-2015-3129, CVE-2015-3131, CVE-2015-3132, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428, CVE-2015-4430, CVE-2015-5119).
  • Diese Updates schließen Sicherheitslücken, die dazu genutzt werden konnten, die Same-Origin-Policy zu umgehen, was zur Informationspreisgabe führt (CVE-2014-0578, CVE-2015-3115, CVE-2015-3116, CVE-2015-3125, CVE-2015-5116).

Danksagung

Adobe bedankt sich bei den folgenden Personen für das Melden dieser Sicherheitslücken und deren Beitrag zum Schutz der Sicherheit unserer Kunden:

  • Ben Hawkes von Google Project Zero (CVE-2015-4430)
  • bilou in Zusammenarbeit mit dem Chromium Vulnerability Rewards Program (CVE-2015-3118, CVE-2015-3128)
  • Chris Evans von Google Project Zero (CVE-2015-3097, CVE-2015-5118)
  • Chris Evans, Ben Hawkes, Mateusz Jurczyk von Google Project Zero (CVE-2015-4432)
  • David Kraftsow (dontsave) in Zusammenarbeit mit Zero Day Initiative von HP (CVE-2015-3125)
  • instruder von Alibaba Security Threat Information (CVE-2015-3133)
  • Kai Kang von Xuanwu Lab von Tencent (CVE-2015-4429, CVE-2015-5124)
  • Kai Lu von Fortinets FortiGuard Labs (CVE-2015-3117)
  • Jihui Lu vom KEEN-Team (CVE-2015-3124)
  • Malte Batram (CVE-2015-3115, CVE-2015-3116)
  • Mateusz Jurczyk von Google Project Zero (CVE-2015-3123)
  • Natalie Silvanovich von Google Project Zero (CVE-2015-3130, CVE-2015-3119, CVE-2015-3120, CVE-2015-3121, CVE-2015-3122, CVE-2015-4433, CVE-2015-5117, CVE-2015-3127, CVE-2015-3129, CVE-2015-3131, CVE-2015-3132, CVE-2015-3136, CVE-2015-3137, CVE-2015-4428)
  • Soroush Dalili von NCC Group (CVE-2015-3114, CVE-2014-0578)
  • willJ von Tencent PC Manager (CVE-2015-3126)
  • Yuki Chen von Qihoo 360 Vulcan Team (CVE-2015-3134, CVE-2015-3135, CVE-2015-4431)
  • Zręczny Gamoń (CVE-2015-5116)
  • Google Project Zero und Morgan Marquis-Boire (CVE-2015-5119)

Historie

17. Juli 2015: Eine zusätzliche Sicherheitslücke (CVE-2015-5124), die versehentlich nicht im Bulletin aufgeführt wurde, wurde als in diesen Updates behoben hinzugefügt.