[Other] Mehrere Schwachstellen in Adobe Flashplayer und AIR – APSB10-16

[Other] Mehrere Schwachstellen in Adobe Flashplayer und AIR - APSB10-16

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgende Warnung. Wir geben diese Informationen
unveraendert an Sie weiter.

CVE-2010-0209 – Schwachstelle in Adobe Flash ActionScript

Die in Adobe Flash enthaltene Actionscript Virtual Machine in Version
eins weist einen Fehler beim Ausfuehren bestimmter Kommandos auf. Wird
das Kommando ‘ActionPush()’ ausgefuehrt, so kann das in Flash Versionen
ab 10.1 zum Ueberschreiben von Daten auf dem Stack fuehren. Ein
Angreifer kann diese Schwachstelle ausnutzen, um im schlimmsten Fall
beliebige Befehle mit den Rechten des Benutzers auszufuehren.

CVE-2010-2188 – Schwachstelle in Adobe Flash

In der ActionScript Unterstuetzung des Adobe Flash Players ist eine
Schwachstelle enthalten. Wird bei der Ausfuehrung von ActionScript-Code
das sog. Native Object 2200 mehrmals hintereinander mit wechselnden
String-Parametern aufgerufen, so fuehrt dies zum Ueberschreiben von
Speicherstrukturen im Speicherbereich des Flash-Plugins. Ein
entfernter Angreifer kann diese Schwachstelle ueber ein speziell
praepariertes Flash-Objekt auf einer Webseite ausnutzen, um beliebige
Befehle mit den Rechten eines Benutzers auszufuehren.

CVE-2010-2213 / CVE-2010-2214 / CVE-2010-2215 / CVE-2010-2216 – Mehrere
Schwachstellen in Adobe Flash ActionScript

Adobe Flash enthaelt mehrere Schwachstellen beim Ausfuehren von
ActionScript. Diese fuehren zu Fehlern in der Speicherverwaltung des
Flash Plugins und erlauben es einem Angreifer Speicherinhalte mit
eigenen Daten zu ueberschreiben. Ein Angreifer kann diese
Schwachstellen ueber praeparierte Flash-Inhalte auf Webseiten ausnutzen,
indem er einen Benutzer dazu verleitet eine solche Seite im Browser zu
oeffnen.

Betroffen sind die folgenden Software Pakete und Plattformen:

Flash Player vor Version 10.1.82.76
Adobe AIR vor Version 2.0.3
Flash Professional CS5, Flash CS4 Professional und Flex 4 mit
integriertem Flash-Plugin vor Version 10.1.82.76
Flash CS3 Professional und Flex 3 mit integriertem Flash-Plugin vor
Version 9.0.280

Alle Plattformen fuer die betroffene Versionen von Adobe Flash und
Adobe Air verfuegbar sind.

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
– —

Michael Groening (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

Security update available for Adobe Flash Player

Release date: August 10, 2010

Vulnerability identifier: APSB10-16

CVE number: CVE-2010-0209, CVE-2010-2188, CVE-2010-2213, CVE-2010-2214, CVE-2010-2215, CVE-2010-2216

Platform: All Platforms
Summary

Critical vulnerabilities have been identified in Adobe Flash Player version 10.1.53.64 and earlier. These vulnerabilities could cause the application to crash and could potentially allow an attacker to take control of the affected system.

Adobe recommends users of Adobe Flash Player 10.1.53.64 and earlier versions update to Adobe Flash Player 10.1.82.76. Adobe recommends users of Adobe AIR 2.0.2.12610 and earlier versions update to Adobe AIR 2.0.3.
Affected software versions

* Adobe Flash Player 10.1.53.64 and earlier versions for Windows, Macintosh, Linux, and Solaris
* Adobe AIR 2.0.2.12610 and earlier versions for Windows, Macintosh and Linux

Adobe Flash Player installed on your system, access the About Flash Player page, or right-click on content running in Flash Player and select “About Adobe (or Macromedia) Flash Player” from the menu. If you use multiple browsers, perform the check for each browser you have installed on your system.

To verify the version of Adobe AIR installed on your system, follow the instructions in the Adobe AIR TechNote.
Solution

Adobe Flash Player
Adobe recommends all users of Adobe Flash Player 10.1.53.64 and earlier versions upgrade to the newest version 10.1.82.76 by downloading it from the Adobe Flash Player Download Center or by installing it via the auto-update mechanism within the product when prompted.

For users who cannot update to Flash Player 10.1.82.76, Adobe has developed a patched version of Flash Player 9, Flash Player 9.0.280, which can be downloaded from here.

Adobe AIR
Adobe recommends all users of Adobe AIR 2.0.2.12610 and earlier versions update to the newest version 2.0.3 by downloading it from the Adobe AIR Download Center.
Severity rating

Adobe categorizes this as a critical update and recommends affected users update their installations to the newest versions.
Details

Critical vulnerabilities have been identified in Adobe Flash Player version 10.1.53.64 and earlier. These vulnerabilities could cause the application to crash and could potentially allow an attacker to take control of the affected system.

This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-0209).

This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2188).

This update resolves multiple memory corruption vulnerabilities that could lead to code execution (CVE-2010-2213).

This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2214).

This update resolves a vulnerability that could lead to a click-jacking attack. (CVE-2010-2215).

This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2216).

Adobe recommends users of Adobe Flash Player 10.1.53.64 and earlier versions update to Adobe Flash Player 10.1.82.76. Adobe recommends users of Adobe AIR 2.0.2.12610 and earlier versions update to Adobe AIR 2.0.3.

Affected software

Recommended player update

Availability

Flash Player 10.1.53.64 and earlier

10.1.82.76

Flash Player Download Center

Flash Player 10.1.53.64 and earlier – network distribution

10.1.82.76

Flash Player Licensing

AIR 2.0.2.12610

AIR 2.0.3

AIR Download Center

Flash Professional CS5, Flash CS4 Professional and Flex 4

10.1.82.76

Flash Player Support Center

Flash CS3 Professional and Flex 3

9.0.280

Flash Player Support Center

Acknowledgments

Adobe would like to thank the following individuals and organizations for reporting the relevant issues and for working with Adobe to help protect our customers:

* Will Dormann of CERT (CVE-2010-0209, CVE-2010-2213, CVE-2010-2216)
* Damian Put through TippingPoint’s Zero Day Initiative (CVE-2010-2188)
* Lenovo Security Technologies (Beijing), Inc. (CVE-2010-2214)
* Jöran Benker (CVE-2010-2215)

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iEYEARECAAYFAkxikVEACgkQWmhIvjFb90WCUQCfQQRJWbWb/mX3wjWq9ZiswnRc
9oYAn0wpjmsBtyFth+GTXkTSADZhpEwr
=KD2V
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben