DFN-CERT-2015-1460 Adobe Flash Player, Adobe Air: Mehrere Schwachstellen ermöglichen u.a. das betroffene System zu übernehmen [Linux][Apple][Windows]

DFN-CERT-2015-1460 Adobe Flash Player, Adobe Air: Mehrere Schwachstellen ermöglichen u.a. das betroffene System zu übernehmen [Linux][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Adobe Integrated Runtime (AIR) <= 18.0.0.143 Android Adobe Integrated Runtime (AIR) <= 18.0.0.199 Adobe Integrated Runtime (AIR) Software Development Kit (SDK) <= 18.0.0.199 Adobe Integrated Runtime (AIR) Software Development Kit (SDK) mit Compiler <= 18.0.0.180 Adobe Flash Player <= 18.0.0.232 Adobe Flash Player <= Extended Support Release 18.0.0.232 Adobe Flash Player for Linux <= 11.2.202.508 Betroffene Plattformen: Apple iOS Apple Mac OS X GNU/Linux Google Android Operating System Chrome OS Microsoft Windows Mehrere Schwachstellen im Adobe Flash Player vor Version 19.0.0.185 für Windows und Apple Mac OS X; für Google Chrome auf Windows, Macintosh, Linux und Chrome OS; Extended Support Release vor Version 18.0.0.241 für Windows und Apple Mac OS X; Adobe Flash Player für Linux vor Version 11.2.202.521 sowie Adobe AIR Desktop Runtime, AIR SDK und AIR SDK & Compiler vor Version 19.0.0.190 erlauben einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes und damit die Übernahme der Kontrolle über das betroffene System. Microsoft aktualisiert mit Update 3087040 den Adobe Flash Player in Internet Explorer 10 für Windows 8, Windows Server 2012 und Windows RT; Internet Explorer 11 für Windows 8.1, Windows Server 2012 R2, Windows RT 8.1 und Windows 10 sowie Microsoft Edge für Windows 10 auf die aktuelle Version 19.0.0.185. (siehe auch Microsoft Knowledge Base Article 3087040). Patch: Adobe Seite zum Herunterladen vom Flash Player http://get.adobe.com/de/flashplayer/

Patch:

Microsoft-Sicherheitsempfehlung 2755801

https://technet.microsoft.com/de-de/library/security/2755801

Patch:

Microsoft Security Advisory MSA-2755801

https://technet.microsoft.com/en-us/library/security/2755801

Patch:

Adobe Security Advisory APSB15-23

http://helpx.adobe.com/content/help/de/security/products/flash-player/apsb15-23.html

CVE-2015-6679: Schwachstelle in Adobe Flash Player und Adobe Air erlaubt das
Umgehen der Same-Origin-Policy

Es existiert eine nicht näher beschriebene Schwachstelle in Adobe Flash
Player und Adobe Air, die das Umgehen der Same-Origin-Policy ermöglicht.
Details über betroffenen Komponenten und mögliche Angriffsvektoren wurden
nicht genannt. Ein entfernter, nicht authentifizierter Angreifer kann die
Schwachstelle dazu ausnutzen, die Same-Origin-Policy zu umgehen und
Informationen auszuspähen.

CVE-2015-6676 CVE-2015-6678: Schwachstellen in Adobe Flash Player und Adobe
Air ermöglichen Ausführen beliebigen Programmcodes

Es existieren zwei nicht näher genannte Speicherüberlauf-Schwachstellen in
Adobe Flash Player und Adobe Air. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstellen ausnutzen und beliebigen Programmcode
ausführen.

CVE-2015-5587: Stack-Speicherüberlauf-Schwachstelle in Adobe Flash Player
und Adobe Air ermöglicht Ausführen beliebigen Programmcodes

Es existiert eine Stack-Speicherüberlauf-Schwachstelle in Adobe Flash Player
und Adobe Air, die durch unsachgemäße Überprüfung von Variablen im
Programmablauf hervorgerufen wird. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen und Adressen im Stack-Speicher
des Programms überschreiben, um beliebigen Programmcode auszuführen.

CVE-2015-5576: Schwachstelle in Adobe Flash Player und Adobe Air ermöglicht
Ausspähen von Informationen

Es existiert eine Schwachstelle in Adobe Flash Player und Adobe Air, die
durch unsachgemäße Sicherung von Daten entsteht. Ein entfernter, nicht
authentifizierter Angreifer kann Informationen ausspähen.

CVE-2015-5575 CVE-2015-5577 CVE-2015-5578 CVE-2015-5580 CVE-2015-5582
CVE-2015-5588 CVE-2015-6677: Schwachstellen in Adobe Flash Player und Adobe
Air ermöglichen Ausführen beliebigen Programmcodes

Es existieren mehrere nicht näher genannte Schwachstellen in Adobe Flash
Player und Adobe Air, die durch fehlerhafte Speicherbehandlung hervorgerufen
werden. Ein entfernter, nicht authentifizierter Angreifer kann beliebigen
Programmcode ausführen.

CVE-2015-5573: Schwachstelle in Adobe Flash Player und Adobe Air erlaubt die
Ausführung beliebigen Programmcodes

In Adobe Flash Player und Adobe Air existiert eine nicht näher beschriebene
Schwachstelle, die auf Typen-Verwechslung basiert. Ein entfernter, nicht
authentisierter Angreifer kann diese nutzen, um beliebigen Programmcode
auszuführen.

CVE-2015-5572: Schwachstelle in Adobe Flash Player und Adobe Air ermöglicht
Umgehen von Sicherheitsvorkehrungen

Es existiert eine nicht näher beschriebene Schwachstelle in Adobe Flash
Player und Adobe Air, die es ermöglicht, Sicherheitsvorkehrungen zu umgehen.
Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen und Sicherheitsvorkehrungen umgehen, um dadurch Informationen
auszuspähen.

CVE-2015-5571: Schwachstelle in Adobe Flash Player und Adobe Air

Im Adobe Flash Player Version wurde eine Mitigation durch zusätzliche
Validierungen eingeführt, die zur Abweisung schädlicher Inhalte bei der
Benutzung verwundbarer JSONP Callback APIs bestimmt sind. Ein entfernter,
nicht authentifizierter Angreifer kann nicht spezifizierte Angriffe
durchführen.

CVE-2015-5570 CVE-2015-5574 CVE-2015-5581 CVE-2015-5584 CVE-2015-6682:
Use-after-free-Schwachstellen in Adobe Flash Player und Adobe Air
ermöglichen Ausführen beliebigen Programmcodes

Mehrere Use-after-free-Schwachstellen in Adobe Flash Player und Adobe Air
führen dazu, dass Speicherbereiche nach deren Freigabe weiter benutzt werden
können. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstellen ausnutzen, durch nicht näher spezifizierte Aktionen, um
beliebigen Programmcode auszuführen.

CVE-2015-5568: Schwachstelle in Adobe Flash Player und Adobe Air ermöglicht
Vektorlängen-Korruption

Es existiert eine nicht näher beschriebene Schwachstelle in Adobe Flash
Player und Adobe Air, die Angriffe durch Vektorlängen-Korruption ermöglicht.
Ein entfernter, nicht authentifizierter Angreifer kann nicht spezifizierte
Angriffe durchführen.

CVE-2015-5567 CVE-2015-5579: Schwachstellen in Adobe Flash Player und Adobe
Air ermöglichen Ausführen beliebigen Programmcodes

Es existieren zwei Schwachstellen in Adobe Flash Player und Adobe Air, die
durch unsachgemäße Speicherbehandlung im Stack-Speicher hervorgerufen
werden. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstellen ausnutzen und den Stack-Speicher des Programms manipulieren,
um beliebigen Programmcode auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1460/

Adobe Seite zum Herunterladen vom Flash Player:
http://get.adobe.com/de/flashplayer/

Microsoft-Sicherheitsempfehlung 2755801:
https://technet.microsoft.com/de-de/library/security/2755801

Microsoft Security Advisory MSA-2755801:
https://technet.microsoft.com/en-us/library/security/2755801

Schwachstelle CVE-2015-6682 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6682

Adobe Security Advisory APSB15-23:
http://helpx.adobe.com/content/help/de/security/products/flash-player/apsb15-23.html

Schwachstelle CVE-2015-5567 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5567

Schwachstelle CVE-2015-5568 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5568

Schwachstelle CVE-2015-5570 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5570

Schwachstelle CVE-2015-5571 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5571

Schwachstelle CVE-2015-5572 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5572

Schwachstelle CVE-2015-5573 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5573

Schwachstelle CVE-2015-5574 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5574

Schwachstelle CVE-2015-5575 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5575

Schwachstelle CVE-2015-5576 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5576

Schwachstelle CVE-2015-5577 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5577

Schwachstelle CVE-2015-5578 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5578

Schwachstelle CVE-2015-5579 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5579

Schwachstelle CVE-2015-5580 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5580

Schwachstelle CVE-2015-5581 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5581

Schwachstelle CVE-2015-5582 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5582

Schwachstelle CVE-2015-5584 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5584

Schwachstelle CVE-2015-5587 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5587

Schwachstelle CVE-2015-5588 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5588

Schwachstelle CVE-2015-6676 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6676

Schwachstelle CVE-2015-6677 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6677

Schwachstelle CVE-2015-6678 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6678

Schwachstelle CVE-2015-6679 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6679

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben