Open Source im professionellen Einsatz

UPDATE: DFN-CERT-2017-1608 Adobe Flash Player: Zwei Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes [Linux][RedHat][Apple][Windows]

13.09.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (13.09.2017):
Red Hat stellt für Red Hat Enterprise Linux 6 Supplementary in den
Ausprägungen Desktop, Server und Workstation den Flash Player in der
Version 27.0.0.130 als Sicherheitsupdate bereit.
Version 2 (13.09.2017):
Microsoft stellt im Zuge des September Patchtages detaillierte
Informationen zu den von den Schwachstellen betroffenen
Betriebssystem-Versionen zur Verfügung. Mittels des Sicherheitshinweises
ADV170013 wird über die Veröffentlichung von Sicherheitsupdates, welche
die in den Browsern Microsoft Internet Explorer 11 und Microsoft Edge
verwendeten Adobe Flash-Bibliotheken aktualisieren, für Windows 8.1,
Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows
Server 2016 und Windows 10, einschließlich Version 1511, Version 1607 und
Version 1703, informiert. Weiterhin veröffentlicht Microsoft den Knowledge
Base Artikel 4038806 bezüglich der Flash Player Updates.
Version 1 (12.09.2017):
Neues Advisory

Betroffene Software:

Adobe Flash Player < 27.0.0.130
Adobe Flash Player < 27.0.0.130 for Google Chrome
Adobe Flash Player < 27.0.0.130 for Microsoft Edge and Internet Explorer 11
Adobe Flash Player for Linux < 27.0.0.130


Betroffene Plattformen:

Apple Mac OS X
macOS Sierra
GNU/Linux
Chrome OS
Microsoft Windows
Microsoft Windows 8.1
Microsoft Windows 10
Microsoft Windows 10 1511
Microsoft Windows 10 1607
Microsoft Windows 10 1703
Microsoft Windows RT 8.1
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2016
Red Hat Enterprise Linux Desktop Supplementary 6
Red Hat Enterprise Linux Server Supplementary 6
Red Hat Enterprise Linux Workstation Supplementary 6



Zwei Schwachstellen im Adobe Flash Player ermöglichen einem entfernten,
nicht authentisierten Angreifer beliebigen Programmcode zur Ausführung zu
bringen. Die Schwachstellen werden vom Hersteller als 'kritisch' bewertet.

Adobe stellt den Flash Player in der Version 27.0.0.130 für Windows, Mac OS
X, macos Sierra, Chrome OS, Google Chrome, Microsoft Edge und Internet
Explorer 11 sowie für Linux bereit. Adobe empfiehlt die Aktualisierung auf
die neueste Version der Software mit der höchsten Priorität ('1') für Nutzer
von Microsoft Edge oder Internet Explorer 11 auf Windows 10 und Windows 8.1
Systemen. Die Updates können über den Update-Mechanismus innerhalb des
Produktes oder aus dem Adobe Flash Player Download Center bezogen werden.
Benutzern von Google Chrome sowie Microsoft Internet Explorer 11 und Edge
werden die Sicherheitsupdates automatisch zur Verfügung gestellt.


Patch:

Adobe Flash Player Download Center

<https://get.adobe.com/flashplayer/>

Patch:

Adobe Security Bulletin APSB17-28

<https://helpx.adobe.com/security/products/flash-player/apsb17-28.html>

Patch:

Microsoft Sicherheitsupdates für Adobe Flash Player vom September 2017

<https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV170013>

Patch:

Red Hat Security Advisory RHSA-2017:2702

<https://access.redhat.com/errata/RHSA-2017:2702>


CVE-2017-11281 CVE-2017-11282: Schwachstellen in Adobe Flash Player
ermöglichen Ausführung beliebigen Programmcodes

Im Adobe Flash Player existieren zwei nicht näher beschriebene
Schwachstellen, die auf einer Speicherkorruption (Memory Corruption)
basieren. Die Schwachstellen werden vom Hersteller als 'kritisch' (critical)
eingestuft.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-1608/>

Adobe Flash Player Download Center:
<https://get.adobe.com/flashplayer/>

Adobe Security Bulletin APSB17-28:
<https://helpx.adobe.com/security/products/flash-player/apsb17-28.html>

Schwachstelle CVE-2017-11281 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11281>

Schwachstelle CVE-2017-11282 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11282>

Microsoft Sicherheitsupdates für Adobe Flash Player vom September 2017:
<https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV170013>

Red Hat Security Advisory RHSA-2017:2702:
<https://access.redhat.com/errata/RHSA-2017:2702>

Microsoft Knowledge Base Artikel 4038806:
<https://support.microsoft.com/de-de/help/4038806/security-update-for-adobe-flash-player-sep-12-2017>

Microsoft September 2017 Sicherheitsupdates:
<https://portal.msrc.microsoft.com/de-de/security-guidance/releasenotedetail/5984735e-f651-e711-80dd-000d3a32fc99>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.