Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 6 (18.12.2014):
Für SUSE Linux Enterprise Workstation Extension 12, Desktop 12 werden
Sicherheitsupdates auf Adobe Flash Player 11.2.202.425 zur Verfügung
gestellt, um diese Schwachstellen zu beheben.
Version 5 (16.12.2014):
Für SUSE Linux Enterprise Desktop 11 SP3 werden Sicherheitsupdates auf
Adobe Flash Player 11.2.202.425 zur Verfügung gestellt, um diese
Schwachstellen zu beheben.
Version 4 (15.12.2014):
Zur Behebung der Schwachstellen hat Apple für OS X den Web Plug-In
Blocking Mechanismus derart angepasst, dass alle Versionen des Flash
Player vor 16.0.0.235 und 13.0.0.259 blockiert werden, wenn versucht wird
Inhalte mit dem Flash Player in Safari anzuzeigen. Um die Inhalte anzeigen
zu können, muss dann die aktualisierte Flash Player Version installiert
werden.
Version 3 (12.12.2014):
Für die ‘NonFree’-Versionen von openSUSE 12.3, openSUSE 13.1 und openSUSE
13.2 stehen Sicherheitsupdates bereit.
Version 2 (11.12.2014):
Für verschiedene Red Hat Enterprise Linux 5 und 6 Supplementary Produkte
stehen Sicherheitsupdates zur Verfügung.
Version 1 (10.12.2014):
Neues Advisory

Betroffene Software:

Adobe Flash Player <= 13.0.0.258 Adobe Flash Player <= 15.0.0.242 Adobe Flash Player for Linux <= 11.2.202.424 Betroffene Plattformen: SUSE Linux Enterprise Workstation Extension 12 Apple Mac OS X GNU/Linux Microsoft Windows openSUSE 12.3 openSUSE 13.1 openSUSE 13.2 SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Desktop 12 Red Hat Enterprise Linux Desktop Supplementary 5 Client Red Hat Enterprise Linux Desktop Supplementary 6 Red hat Enterprise Linux Server Supplementary 5 Red hat Enterprise Linux Server Supplementary 6 Red hat Enterprise Linux Server Supplementary 6.6.z EUS Red Hat Enterprise Linux Workstation Supplementary 6 Mehrere Schwachstellen in verschiedenen Versionen von Adobe Flash Player ermöglichen es einem in der Regel entfernten, nicht authentisierten Angreifer beliebigen Programmcode mit den Rechten des Dienstes auszuführen, einen Denial-of-Service (DoS)-Zustand herbeizuführen oder sensible Informationen auszuspähen. Adobe behebt diese Schwachstellen für seine Produkte mit Updates auf Adobe Flash Player 16.0.0.235, Adobe Flash Player Extended Support Release 13.0.0.259 und Adobe Flash Player for Linux 11.2.202.425. Adobe teilt mit, dass für die Schwachstelle CVE-2014-9163 bereits ein Exploit öffentlich bekannt ist, Adobe Flash Player 15.0.0.246 jedoch bereits nicht verwundbar gegenüber CVE-2014-9163 sei. Patch: Adobe Security Bulletin: APSB14-27 (Flash Player) http://helpx.adobe.com/security/products/flash-player/apsb14-27.html

Patch:

Red Hat Security Advisory RHSA-2014:1981

http://rhn.redhat.com/errata/RHSA-2014-1981.html

Patch:

openSUSE Security Update openSUSE-SU-2014:1629-1

http://lists.opensuse.org/opensuse-updates/2014-12/msg00049.html

Patch:

Apple Security Advisory HT202681

http://support.apple.com/en-us/HT202681

Patch:

SUSE Security Advisory SUSE-SU-2014:1650-1

http://lists.opensuse.org/opensuse-security-announce/2014-12/msg00018.html

Patch:

SUSE Security Update SUSE-SU-2014:1649-1

https://www.suse.com/support/update/announcement/2014/suse-su-20141649-1.html

Patch:

SUSE Security Update SUSE-SU-2014:1650-1

https://www.suse.com/support/update/announcement/2014/suse-su-20141650-1.html

CVE-2014-9164: Speicherkorruptions-Schwachstelle in Adobe Flash Player

Eine Schwachstelle im Adobe Flash Player kann zu einer Speicherkorruption
führen. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um beliebigen Programmcode zur Ausführung zu
bringen oder einen Denial-of-Service-Angriff durchzuführen. Es handelt sich
um eine andere Schwachstelle als CVE-2014-0587.

CVE-2014-9163: Stack-Pufferüberlauf-Schwachstelle erlaubt Ausführen
beliebigen Programmcodes

Es existiert eine Stack-basierte Pufferüberlauf-Schwachstelle in
verschiedenen Versionen von Adobe Flash Player auf Windows, Mac OS X und
Linux. Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstelle ausnutzen, über nicht näher spezifizierte Angriffsvektoren, um
beliebigen Programmcode zur Ausführung zu bringen. Diese Schwachstelle wird
bereits aktiv ausgenutzt.

CVE-2014-9162: Schwachstelle in Adobe Flash Player erlaubt das Ausspähen von
Informationen

Es existiert eine Schwachstelle in verschiedenen Versionen von Adobe Flash
Player auf Windows, Mac OS X und Linux. Ein entfernter, nicht
authentisierter Angreifer kann, über nicht näher bekannte Angriffsvektoren,
Informationen ausspähen.

CVE-2014-8443: Use-after-free-Schwachstelle in Adobe Flash Player erlaubt
Ausführung beliebigen Programmcodes

Es existiert eine Use-after-free-Schwachstelle in verschiedenen Versionen
von Adobe Flash Player auf Windows, Mac OS X und Linux. Ein entfernter,
nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, über
nicht näher spezifizierte Angriffsvektoren, um beliebigen Programmcode zur
Ausführung zu bringen.

CVE-2014-0587: Speicherkorruptions-Schwachstelle in Adobe Flash Player

Eine Schwachstelle im Adobe Flash Player kann zu einer Speicherkorruption
führen. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um beliebigen Programmcode zur Ausführung zu
bringen oder einen Denial-of-Service-Angriff durchzuführen. Es handelt sich
um eine andere Schwachstelle als CVE-2014-9164.

CVE-2014-0580: Schwachstelle in Adobe Flash Player erlaubt das Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle erlaubt das Umgehen der Same-Origin-Policy. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1627/

Adobe Security Bulletin: APSB14-27 (Flash Player):
http://helpx.adobe.com/security/products/flash-player/apsb14-27.html

Schwachstelle CVE-2014-0580 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0580

Schwachstelle CVE-2014-0587 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0587

Schwachstelle CVE-2014-8443 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8443

Schwachstelle CVE-2014-9162 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9162

Schwachstelle CVE-2014-9163 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9163

Schwachstelle CVE-2014-9164 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9164

Red Hat Security Advisory RHSA-2014:1981:
http://rhn.redhat.com/errata/RHSA-2014-1981.html

openSUSE Security Update openSUSE-SU-2014:1629-1:
http://lists.opensuse.org/opensuse-updates/2014-12/msg00049.html

Apple Security Advisory HT202681:
http://support.apple.com/en-us/HT202681

SUSE Security Advisory SUSE-SU-2014:1650-1:
http://lists.opensuse.org/opensuse-security-announce/2014-12/msg00018.html

SUSE Security Update SUSE-SU-2014:1649-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20141649-1.html

SUSE Security Update SUSE-SU-2014:1650-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20141650-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (16.12.2014):
Für SUSE Linux Enterprise Desktop 11 SP3 werden Sicherheitsupdates auf
Adobe Flash Player 11.2.202.425 zur Verfügung gestellt, um diese
Schwachstellen zu beheben.
Version 4 (15.12.2014):
Zur Behebung der Schwachstellen hat Apple für OS X den Web Plug-In
Blocking Mechanismus derart angepasst, dass alle Versionen des Flash
Player vor 16.0.0.235 und 13.0.0.259 blockiert werden, wenn versucht wird
Inhalte mit dem Flash Player in Safari anzuzeigen. Um die Inhalte anzeigen
zu können, muss dann die aktualisierte Flash Player Version installiert
werden.
Version 3 (12.12.2014):
Für die ‘NonFree’-Versionen von openSUSE 12.3, openSUSE 13.1 und openSUSE
13.2 stehen Sicherheitsupdates bereit.
Version 2 (11.12.2014):
Für verschiedene Red Hat Enterprise Linux 5 und 6 Supplementary Produkte
stehen Sicherheitsupdates zur Verfügung.
Version 1 (10.12.2014):
Neues Advisory

Betroffene Software:

Adobe Flash Player <= 13.0.0.258 Adobe Flash Player <= 15.0.0.242 Adobe Flash Player for Linux <= 11.2.202.424 Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows openSUSE 12.3 openSUSE 13.1 openSUSE 13.2 SUSE Linux Enterprise Desktop 11 SP3 Red Hat Enterprise Linux Desktop Supplementary 5 Client Red Hat Enterprise Linux Desktop Supplementary 6 Red hat Enterprise Linux Server Supplementary 5 Red hat Enterprise Linux Server Supplementary 6 Red hat Enterprise Linux Server Supplementary 6.6.z EUS Red Hat Enterprise Linux Workstation Supplementary 6 Mehrere Schwachstellen in verschiedenen Versionen von Adobe Flash Player ermöglichen es einem in der Regel entfernten, nicht authentisierten Angreifer beliebigen Programmcode mit den Rechten des Dienstes auszuführen, einen Denial-of-Service (DoS)-Zustand herbeizuführen oder sensible Informationen auszuspähen. Adobe behebt diese Schwachstellen für seine Produkte mit Updates auf Adobe Flash Player 16.0.0.235, Adobe Flash Player Extended Support Release 13.0.0.259 und Adobe Flash Player for Linux 11.2.202.425. Adobe teilt mit, dass für die Schwachstelle CVE-2014-9163 bereits ein Exploit öffentlich bekannt ist, Adobe Flash Player 15.0.0.246 jedoch bereits nicht verwundbar gegenüber CVE-2014-9163 sei. Patch: Adobe Security Bulletin: APSB14-27 (Flash Player) http://helpx.adobe.com/security/products/flash-player/apsb14-27.html

Patch:

Red Hat Security Advisory RHSA-2014:1981

http://rhn.redhat.com/errata/RHSA-2014-1981.html

Patch:

openSUSE Security Update openSUSE-SU-2014:1629-1

http://lists.opensuse.org/opensuse-updates/2014-12/msg00049.html

Patch:

Apple Security Advisory HT202681

http://support.apple.com/en-us/HT202681

Patch:

SUSE Security Advisory SUSE-SU-2014:1650-1

http://lists.opensuse.org/opensuse-security-announce/2014-12/msg00018.html

CVE-2014-9164: Speicherkorruptions-Schwachstelle in Adobe Flash Player

Eine Schwachstelle im Adobe Flash Player kann zu einer Speicherkorruption
führen. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um beliebigen Programmcode zur Ausführung zu
bringen oder einen Denial-of-Service-Angriff durchzuführen. Es handelt sich
um eine andere Schwachstelle als CVE-2014-0587.

CVE-2014-9163: Stack-Pufferüberlauf-Schwachstelle erlaubt Ausführen
beliebigen Programmcodes

Es existiert eine Stack-basierte Pufferüberlauf-Schwachstelle in
verschiedenen Versionen von Adobe Flash Player auf Windows, Mac OS X und
Linux. Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstelle ausnutzen, über nicht näher spezifizierte Angriffsvektoren, um
beliebigen Programmcode zur Ausführung zu bringen. Diese Schwachstelle wird
bereits aktiv ausgenutzt.

CVE-2014-9162: Schwachstelle in Adobe Flash Player erlaubt das Ausspähen von
Informationen

Es existiert eine Schwachstelle in verschiedenen Versionen von Adobe Flash
Player auf Windows, Mac OS X und Linux. Ein entfernter, nicht
authentisierter Angreifer kann, über nicht näher bekannte Angriffsvektoren,
Informationen ausspähen.

CVE-2014-8443: Use-after-free-Schwachstelle in Adobe Flash Player erlaubt
Ausführung beliebigen Programmcodes

Es existiert eine Use-after-free-Schwachstelle in verschiedenen Versionen
von Adobe Flash Player auf Windows, Mac OS X und Linux. Ein entfernter,
nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, über
nicht näher spezifizierte Angriffsvektoren, um beliebigen Programmcode zur
Ausführung zu bringen.

CVE-2014-0587: Speicherkorruptions-Schwachstelle in Adobe Flash Player

Eine Schwachstelle im Adobe Flash Player kann zu einer Speicherkorruption
führen. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um beliebigen Programmcode zur Ausführung zu
bringen oder einen Denial-of-Service-Angriff durchzuführen. Es handelt sich
um eine andere Schwachstelle als CVE-2014-9164.

CVE-2014-0580: Schwachstelle in Adobe Flash Player erlaubt das Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle erlaubt das Umgehen der Same-Origin-Policy. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1627/

Adobe Security Bulletin: APSB14-27 (Flash Player):
http://helpx.adobe.com/security/products/flash-player/apsb14-27.html

Schwachstelle CVE-2014-0580 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0580

Schwachstelle CVE-2014-0587 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0587

Schwachstelle CVE-2014-8443 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8443

Schwachstelle CVE-2014-9162 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9162

Schwachstelle CVE-2014-9163 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9163

Schwachstelle CVE-2014-9164 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9164

Red Hat Security Advisory RHSA-2014:1981:
http://rhn.redhat.com/errata/RHSA-2014-1981.html

openSUSE Security Update openSUSE-SU-2014:1629-1:
http://lists.opensuse.org/opensuse-updates/2014-12/msg00049.html

Apple Security Advisory HT202681:
http://support.apple.com/en-us/HT202681

SUSE Security Advisory SUSE-SU-2014:1650-1:
http://lists.opensuse.org/opensuse-security-announce/2014-12/msg00018.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (15.12.2014):
Zur Behebung der Schwachstellen hat Apple für OS X den Web Plug-In
Blocking Mechanismus derart angepasst, dass alle Versionen des Flash
Player vor 16.0.0.235 und 13.0.0.259 blockiert werden, wenn versucht wird
Inhalte mit dem Flash Player in Safari anzuzeigen. Um die Inhalte anzeigen
zu können, muss dann die aktualisierte Flash Player Version installiert
werden.
Version 3 (12.12.2014):
Für die ‘NonFree’-Versionen von openSUSE 12.3, openSUSE 13.1 und openSUSE
13.2 stehen Sicherheitsupdates bereit.
Version 2 (11.12.2014):
Für verschiedene Red Hat Enterprise Linux 5 und 6 Supplementary Produkte
stehen Sicherheitsupdates zur Verfügung.
Version 1 (10.12.2014):
Neues Advisory

Betroffene Software:

Adobe Flash Player <= 13.0.0.258 Adobe Flash Player <= 15.0.0.242 Adobe Flash Player for Linux <= 11.2.202.424 Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows openSUSE 12.3 openSUSE 13.1 openSUSE 13.2 Red Hat Enterprise Linux Desktop Supplementary 5 Client Red Hat Enterprise Linux Desktop Supplementary 6 Red hat Enterprise Linux Server Supplementary 5 Red hat Enterprise Linux Server Supplementary 6 Red hat Enterprise Linux Server Supplementary 6.6.z EUS Red Hat Enterprise Linux Workstation Supplementary 6 Mehrere Schwachstellen in verschiedenen Versionen von Adobe Flash Player ermöglichen es einem in der Regel entfernten, nicht authentisierten Angreifer beliebigen Programmcode mit den Rechten des Dienstes auszuführen, einen Denial-of-Service (DoS)-Zustand herbeizuführen oder sensible Informationen auszuspähen. Adobe behebt diese Schwachstellen für seine Produkte mit Updates auf Adobe Flash Player 16.0.0.235, Adobe Flash Player Extended Support Release 13.0.0.259 und Adobe Flash Player for Linux 11.2.202.425. Adobe teilt mit, dass für die Schwachstelle CVE-2014-9163 bereits ein Exploit öffentlich bekannt ist, Adobe Flash Player 15.0.0.246 jedoch bereits nicht verwundbar gegenüber CVE-2014-9163 sei. Patch: Adobe Security Bulletin: APSB14-27 (Flash Player) http://helpx.adobe.com/security/products/flash-player/apsb14-27.html

Patch:

Red Hat Security Advisory RHSA-2014:1981

http://rhn.redhat.com/errata/RHSA-2014-1981.html

Patch:

openSUSE Security Update openSUSE-SU-2014:1629-1

http://lists.opensuse.org/opensuse-updates/2014-12/msg00049.html

Patch:

Apple Security Advisory HT202681

http://support.apple.com/en-us/HT202681

CVE-2014-9164: Speicherkorruptions-Schwachstelle in Adobe Flash Player

Eine Schwachstelle im Adobe Flash Player kann zu einer Speicherkorruption
führen. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um beliebigen Programmcode zur Ausführung zu
bringen oder einen Denial-of-Service-Angriff durchzuführen. Es handelt sich
um eine andere Schwachstelle als CVE-2014-0587.

CVE-2014-9163: Stack-Pufferüberlauf-Schwachstelle erlaubt Ausführen
beliebigen Programmcodes

Es existiert eine Stack-basierte Pufferüberlauf-Schwachstelle in
verschiedenen Versionen von Adobe Flash Player auf Windows, Mac OS X und
Linux. Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstelle ausnutzen, über nicht näher spezifizierte Angriffsvektoren, um
beliebigen Programmcode zur Ausführung zu bringen. Diese Schwachstelle wird
bereits aktiv ausgenutzt.

CVE-2014-9162: Schwachstelle in Adobe Flash Player erlaubt das Ausspähen von
Informationen

Es existiert eine Schwachstelle in verschiedenen Versionen von Adobe Flash
Player auf Windows, Mac OS X und Linux. Ein entfernter, nicht
authentisierter Angreifer kann, über nicht näher bekannte Angriffsvektoren,
Informationen ausspähen.

CVE-2014-8443: Use-after-free-Schwachstelle in Adobe Flash Player erlaubt
Ausführung beliebigen Programmcodes

Es existiert eine Use-after-free-Schwachstelle in verschiedenen Versionen
von Adobe Flash Player auf Windows, Mac OS X und Linux. Ein entfernter,
nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, über
nicht näher spezifizierte Angriffsvektoren, um beliebigen Programmcode zur
Ausführung zu bringen.

CVE-2014-0587: Speicherkorruptions-Schwachstelle in Adobe Flash Player

Eine Schwachstelle im Adobe Flash Player kann zu einer Speicherkorruption
führen. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um beliebigen Programmcode zur Ausführung zu
bringen oder einen Denial-of-Service-Angriff durchzuführen. Es handelt sich
um eine andere Schwachstelle als CVE-2014-9164.

CVE-2014-0580: Schwachstelle in Adobe Flash Player erlaubt das Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle erlaubt das Umgehen der Same-Origin-Policy. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1627/

Adobe Security Bulletin: APSB14-27 (Flash Player):
http://helpx.adobe.com/security/products/flash-player/apsb14-27.html

Schwachstelle CVE-2014-0580 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0580

Schwachstelle CVE-2014-0587 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0587

Schwachstelle CVE-2014-8443 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8443

Schwachstelle CVE-2014-9162 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9162

Schwachstelle CVE-2014-9163 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9163

Schwachstelle CVE-2014-9164 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9164

Red Hat Security Advisory RHSA-2014:1981:
http://rhn.redhat.com/errata/RHSA-2014-1981.html

openSUSE Security Update openSUSE-SU-2014:1629-1:
http://lists.opensuse.org/opensuse-updates/2014-12/msg00049.html

Apple Security Advisory HT202681:
http://support.apple.com/en-us/HT202681

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (12.12.2014):
Für die ‘NonFree’-Versionen von openSUSE 12.3, openSUSE 13.1 und openSUSE
13.2 stehen Sicherheitsupdates bereit.
Version 2 (11.12.2014):
Für verschiedene Red Hat Enterprise Linux 5 und 6 Supplementary Produkte
stehen Sicherheitsupdates zur Verfügung.
Version 1 (10.12.2014):
Neues Advisory

Betroffene Software:

Adobe Flash Player <= 13.0.0.258 Adobe Flash Player <= 15.0.0.242 Adobe Flash Player for Linux <= 11.2.202.424 Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows openSUSE 12.3 openSUSE 13.1 openSUSE 13.2 Red Hat Enterprise Linux Desktop Supplementary 5 Client Red Hat Enterprise Linux Desktop Supplementary 6 Red hat Enterprise Linux Server Supplementary 5 Red hat Enterprise Linux Server Supplementary 6 Red hat Enterprise Linux Server Supplementary 6.6.z EUS Red Hat Enterprise Linux Workstation Supplementary 6 Mehrere Schwachstellen in verschiedenen Versionen von Adobe Flash Player ermöglichen es einem in der Regel entfernten, nicht authentisierten Angreifer beliebigen Programmcode mit den Rechten des Dienstes auszuführen, einen Denial-of-Service (DoS)-Zustand herbeizuführen oder sensible Informationen auszuspähen. Adobe behebt diese Schwachstellen für seine Produkte mit Updates auf Adobe Flash Player 16.0.0.235, Adobe Flash Player Extended Support Release 13.0.0.259 und Adobe Flash Player for Linux 11.2.202.425. Adobe teilt mit, dass für die Schwachstelle CVE-2014-9163 bereits ein Exploit öffentlich bekannt ist, Adobe Flash Player 15.0.0.246 jedoch bereits nicht verwundbar gegenüber CVE-2014-9163 sei. Patch: Adobe Security Bulletin: APSB14-27 (Flash Player) http://helpx.adobe.com/security/products/flash-player/apsb14-27.html

Patch:

Red Hat Security Advisory RHSA-2014:1981

http://rhn.redhat.com/errata/RHSA-2014-1981.html

Patch:

openSUSE Security Update openSUSE-SU-2014:1629-1

http://lists.opensuse.org/opensuse-updates/2014-12/msg00049.html

CVE-2014-9164: Speicherkorruptions-Schwachstelle in Adobe Flash Player

Eine Schwachstelle im Adobe Flash Player kann zu einer Speicherkorruption
führen. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um beliebigen Programmcode zur Ausführung zu
bringen oder einen Denial-of-Service-Angriff durchzuführen. Es handelt sich
um eine andere Schwachstelle als CVE-2014-0587.

CVE-2014-9163: Stack-Pufferüberlauf-Schwachstelle erlaubt Ausführen
beliebigen Programmcodes

Es existiert eine Stack-basierte Pufferüberlauf-Schwachstelle in
verschiedenen Versionen von Adobe Flash Player auf Windows, Mac OS X und
Linux. Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstelle ausnutzen, über nicht näher spezifizierte Angriffsvektoren, um
beliebigen Programmcode zur Ausführung zu bringen. Diese Schwachstelle wird
bereits aktiv ausgenutzt.

CVE-2014-9162: Schwachstelle in Adobe Flash Player erlaubt das Ausspähen von
Informationen

Es existiert eine Schwachstelle in verschiedenen Versionen von Adobe Flash
Player auf Windows, Mac OS X und Linux. Ein entfernter, nicht
authentisierter Angreifer kann, über nicht näher bekannte Angriffsvektoren,
Informationen ausspähen.

CVE-2014-8443: Use-after-free-Schwachstelle in Adobe Flash Player erlaubt
Ausführung beliebigen Programmcodes

Es existiert eine Use-after-free-Schwachstelle in verschiedenen Versionen
von Adobe Flash Player auf Windows, Mac OS X und Linux. Ein entfernter,
nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, über
nicht näher spezifizierte Angriffsvektoren, um beliebigen Programmcode zur
Ausführung zu bringen.

CVE-2014-0587: Speicherkorruptions-Schwachstelle in Adobe Flash Player

Eine Schwachstelle im Adobe Flash Player kann zu einer Speicherkorruption
führen. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um beliebigen Programmcode zur Ausführung zu
bringen oder einen Denial-of-Service-Angriff durchzuführen. Es handelt sich
um eine andere Schwachstelle als CVE-2014-9164.

CVE-2014-0580: Schwachstelle in Adobe Flash Player erlaubt das Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle erlaubt das Umgehen der Same-Origin-Policy. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1627/

Adobe Security Bulletin: APSB14-27 (Flash Player):
http://helpx.adobe.com/security/products/flash-player/apsb14-27.html

Schwachstelle CVE-2014-0580 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0580

Schwachstelle CVE-2014-0587 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0587

Schwachstelle CVE-2014-8443 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8443

Schwachstelle CVE-2014-9162 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9162

Schwachstelle CVE-2014-9163 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9163

Schwachstelle CVE-2014-9164 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9164

Red Hat Security Advisory RHSA-2014:1981:
http://rhn.redhat.com/errata/RHSA-2014-1981.html

openSUSE Security Update openSUSE-SU-2014:1629-1:
http://lists.opensuse.org/opensuse-updates/2014-12/msg00049.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.