UPDATE: DFN-CERT-2015-1033 Adobe Flash Player: Zwei Schwachstellen ermöglichen die Übernahme des Systems [Linux][RedHat][Apple][Windows]

UPDATE: DFN-CERT-2015-1033 Adobe Flash Player: Zwei Schwachstellen ermöglichen die Übernahme des Systems [Linux][RedHat][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (17.07.2015):
Aktualisierter Informationen von Adobe und neue Informationen von Apple,
Google und Red Hat inkludiert.
Version 2 (14.07.2015):
Adobe stellt die Flash Player Version 18.0.0.209 und das Flash Player
Extended Support Release 13.0.0.305 zur Behebung der Schwachstellen
bereit. Aufgrund des Ausnutzungsstatus sollte das Update zeitnah
installiert werden.
Version 1 (13.07.2015):
Neues Advisory

Betroffene Software:

Adobe Flash Player <= 13.0.0.302 Extended Support Release Adobe Flash Player <= 18.0.0.203 Adobe Flash Player <= 18.0.0.204 Adobe Flash Player for Linux <= 11.2.202.481 Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows Red Hat Enterprise Linux Desktop Supplementary 5 Client Red Hat Enterprise Linux Desktop Supplementary 6 Red hat Enterprise Linux Server Supplementary 5 Red hat Enterprise Linux Server Supplementary 6 Red hat Enterprise Linux Server Supplementary 6.6.z EUS Red Hat Enterprise Linux Workstation Supplementary 6 Zwei kritische Schwachstellen im Adobe Flash Player bis Version 18.0.0.204 ermöglichen einem entfernten, nicht authentisierten Angreifer einen Denial-of-Service-Zustand zu verursachen oder das betroffene System zu übernehmen. Ein Exploit zur Ausnutzung dieser Schwachstellen existiert bereits. Adobe hat die Flash Player Versionen 18.0.0.209 und 11.2.202.491 für Linux sowie das Flash Player Extended Support Release 13.0.0.309 zur Behebung der Schwachstellen veröffentlicht. In der ersten Veröffentlichung der Sicherheitsupdates wurde die Flash Player Extended Support Release 13.0.0.305 als korrigierte Version angegeben. Dementsprechend hat Apple den Web Plug-In-Blocking-Mechanismus aktualisiert, um die Nutzung des Adobe Flash Players der Versionen vor 18.0.0.209 und vor 13.0.0.305 zu unterbinden. Für Google Chrome OS steht ein Stable Channel Update zur Verfügung, welches ein Update auf die Flash Player Version 18.0.0.209-r1 inkludiert. Red Hat stellt für verschiedene Red Hat Enterprise Linux 5 und 6 Supplementary Varianten Sicherheitsupdates auf die Flash Player Version 11.2.202.491 bereit. Patch: Adobe Seite zum Herunterladen vom Flash Player http://get.adobe.com/de/flashplayer/

Patch:

Apple Security Update HT202681

https://support.apple.com/en-us/HT202681

Patch:

Adobe Security Bulletin APSB15-18

http://helpx.adobe.com/content/help/en/security/products/flash-player/apsb15-18.html

Patch:

Chrome OS – Stable Channel Update

http://googlechromereleases.blogspot.de/2015/07/stable-channel-update-for-chrome-os_14.html

Patch:

Red Hat Security Advisory RHSA-2015:1235

http://rhn.redhat.com/errata/RHSA-2015-1235.html

CVE-2015-5123: Schwachstelle in Adobe Flash Player ermöglicht die Übernahme
der Systemkontrolle

Bereits freigegebener Speicher wird fehlerhaft weiterverwendet
(use-after-free) in der BitmapData Klasse der ActionScript 3 (AS3)
Implementierung. Ein entfernter, nicht authentifizierter Angreifer kann
diese Schwachstelle mittels speziell präparierten Flash-Inhalten, die eine
ValueOf-Funktion überschreiben, ausnutzen, um beliebigen Programmcode zur
Ausführung zu bringen oder einen Denial-of-Service-Zustand herbeizuführen.

CVE-2015-5122: Schwachstelle in Adobe Flash Player ermöglicht die Übernahme
der Systemkontrolle

Bereits freigegebener Speicher wird fehlerhaft weiterverwendet
(use-after-free) in der DisplayObject Klasse der ActionScript 3 (AS3)
Implementierung. Ein entfernter, nicht authentifizierter Angreifer kann
diese Schwachstelle mittels speziell präparierten Flash-Inhalten, die die
inkorrekte Behandlung der Eigenschaft “opaqueBackground” auslösen,
ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen oder einen
Denial-of-Service-Zustand herbeizuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1033/

Adobe Seite zum Herunterladen vom Flash Player:
http://get.adobe.com/de/flashplayer/

Apple Security Update HT202681:
https://support.apple.com/en-us/HT202681

Adobe Security Advisory APSA15-04:
http://helpx.adobe.com/content/help/en/security/products/flash-player/apsa15-04.html

Schwachstelle CVE-2015-5122 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5122

Schwachstelle CVE-2015-5123 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5123

Adobe Security Bulletin APSB15-18:
http://helpx.adobe.com/content/help/en/security/products/flash-player/apsb15-18.html

Chrome OS – Stable Channel Update :
http://googlechromereleases.blogspot.de/2015/07/stable-channel-update-for-chrome-os_14.html

Red Hat Security Advisory RHSA-2015:1235:
http://rhn.redhat.com/errata/RHSA-2015-1235.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben