2016-0558: Adobe Flash Player, Adobe AIR, Chrome OS: Mehrere Schwachstellen ermöglichen u.a. eine komplette Systemübernahme

Historie:

Version 1 (2016-04-06 14:00)

Neues Advisory

Version 2 (2016-04-08 16:01)

Adobe teilt in einer weiteren Sicherheitsmeldung mit, dass CVE-2016-1019 und 23 weitere Schwachstellen im Adobe Flash Player vor Version 21.0.0.213 für Windows und Mac OS X, für Google Chrome auf Windows, Macintosh, Linux und Chrome OS, für Microsoft Edge und Internet Explorer 11 auf Windows 10, für Internet Explorer 11 auf Windows 8.1, im Extended Support Release vor Version 18.0.0.343 für Windows und Apple Mac OS X sowie im Adobe Flash Player für Linux vor Version 11.2.202.616 behoben wurden, die einem entfernten, nicht authentifizierten Angreifer unter anderem das Ausführen beliebigen Programmcodes und damit die Übernahme der Kontrolle über das betroffene System erlauben. Adobe stellt die entsprechenden Sicherheitsupdates bereit und empfiehlt Nutzern von Windows und Mac OS X ein Update auf Version 21.0.0.213 über die systemeigenen Update-Mechanismen. Benutzer des Adobe Flash Player Extended Support Release werden angewiesen, das Sicherheitsupdate auf Version 18.0.0.343 einzuspielen. Linux-Anwender werden auf Programmversion 11.2.202.616 verwiesen. Die Adobe Flash Player in Google Chrome, Microsoft Edge sowie Internet Explorer für Windows 10 und 8.1 werden automatisch auf die Version 21.0.0.213 aktualisiert.

Version 3 (2016-04-08 17:59)

Für openSUSE 13.2 steht ein Sicherheitsupdate des Pakets flash-player auf die Version 11.2.202.616-2.94.1 zur Verfügung.

Version 4 (2016-04-08 19:29)

Für Red Hat Enterprise Linux 5 Supplementary Client und Server sowie Red Hat Enterprise Linux 6 Supplementary Desktop, Server, Server EUS 6.7.z und Workstation stehen Sicherheitsupdates für das Paket 'flash-plugin' bereit.

Version 5 (2016-04-11 12:40)

Für openSUSE 13.1 und die SUSE Linux Enterprise-Produkte Workstation Extension und Desktop in den Versionen 12 und 12-SP1 stehen Sicherheitsupdates für das Paket 'flash-player' zur Verfügung.

Version 6 (2016-04-12 13:42)

Google veröffentlicht die stabile Chrome OS Version 49.0.2623.112 (Platform Version: 7834.70.0/7834.71.0) für alle Chrome OS Geräte, welche insbesondere ein Update für den Adobe Flash Player (21.0.0.216-r1) enthält und weitere nicht näher beschriebene Sicherheitslücken behebt.

Version 7 (2016-04-13 11:56)

Adobe stellt Sicherheitsupdates für AIR bereit (siehe Beschreibung).

Version 8 (2016-04-13 16:43)

Microsoft stellt Sicherheitsupdates für Adobe Flash Player für alle unterstützten Windows Versionen zur Verfügung (siehe Beschreibung).

Version 9 (2016-04-29 15:33)

Apple informiert mit APPLE-SA-2016-04-28-1 darüber, dass aufgrund von Sicherheits- und Stabilitätsmängeln alle Flash Player Plug-In Versionen vor Flash Player 21.0.0.226 und 18.0.0.343 auf Apple Mac OS X geblockt werden.

Betroffene Software

Entwicklung
Office
Systemsoftware

Betroffene Plattformen

Apple
Google
Linux
Microsoft

Beschreibung:

Ein entfernter, nicht authentifizierter Angreifer kann eine Schwachstelle in Adobe Flash Player bis inklusive Version 21.0.0.197 für Windows, Macintosh, Linux und Chrome OS ausnutzen, um einen Denial-of-Service-Angriff (DoS-Angriff) durchzuführen und außerdem die Kontrolle über das betroffene System zu übernehmen.

Adobe informiert über diese Schwachstelle und bestätigt die aktive Ausnutzung auf Microsoft Windows-Systemen. Eine in der Programmversion 21.0.0.182 eingeführte Mitigation verhindert momentan die Ausnutzung der Schwachstelle. Adobe plant ein Sicherheitsupdate für den 07. April 2016.

Aktualisierung vom 08. April 2016: Adobe teilt in einer weiteren Sicherheitsmeldung mit, dass CVE-2016-1019 und 23 weitere Schwachstellen im Adobe Flash Player vor Version 21.0.0.213 für Windows und Mac OS X, für Google Chrome auf Windows, Macintosh, Linux und Chrome OS, für Microsoft Edge und Internet Explorer 11 auf Windows 10, für Internet Explorer 11 auf Windows 8.1, im Extended Support Release vor Version 18.0.0.343 für Windows und Apple Mac OS X sowie im Adobe Flash Player für Linux vor Version 11.2.202.616 behoben wurden, die einem entfernten, nicht authentifizierten Angreifer unter anderem das Ausführen beliebigen Programmcodes und damit die Übernahme der Kontrolle über das betroffene System erlauben. Adobe stellt die entsprechenden Sicherheitsupdates bereit und empfiehlt Nutzern von Windows und Mac OS X ein Update auf Version 21.0.0.213 über die systemeigenen Update-Mechanismen. Benutzer des Adobe Flash Player Extended Support Release werden angewiesen, das Sicherheitsupdate auf Version 18.0.0.343 einzuspielen. Linux-Anwender werden auf Programmversion 11.2.202.616 verwiesen. Die Adobe Flash Player in Google Chrome, Microsoft Edge sowie Internet Explorer für Windows 10 und 8.1 werden automatisch auf die Version 21.0.0.213 aktualisiert.

Aktualisierung vom 12. April 2016: Adobe aktualisiert das referenzierte Security Bulletin APSB16-10, um über die Verfügbarkeit der AIR Desktop Runtime Version 21.0.0.198 für Windows und Macintosh sowie die AIR SDK und AIR SDK & Compiler Version 21.0.0.198 für Windows, Macintosh, Android und iOS zu informieren. Durch diese Sicherheitsupdates werden die hier aufgeführten Schwachstellen adressiert.

Aktualisierung vom 13. April 2016: Microsoft stellt Sicherheitsupdates für Adobe Flash Player für alle unterstützten Editionen von Windows Server 2012, Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows 10 und Windows 10 Version 1511 zur Verfügung. Diese Sicherheitsupdates beheben die Sicherheitslücken in Adobe Flash Player durch eine Aktualisierung der Adobe Flash Bibliotheken in Internet Explorer 10, Internet Explorer 11 und Microsoft Edge. Weitere Detailinformationen stehen über den Microsoft Knowledge Base Article 3154132 und das Microsoft Security Bulletin MS16-050 (Referenzen anbei) zur Verfügung.

Aktualisierung vom 28. April 2016: Apple informiert mit APPLE-SA-2016-04-28-1 darüber, dass aufgrund von Sicherheits- und Stabilitätsmängeln alle Flash Player Plug-In Versionen vor Flash Player 21.0.0.226 und 18.0.0.343 auf Apple Mac OS X geblockt werden.

Schwachstellen:

CVE-2016-1006

Schwachstelle in Adobe Flash Player ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2016-1011 CVE-2016-1013 CVE-2016-1016 CVE-2016-1017 CVE-2016-1031

Schwachstellen in Adobe Flash Player ermöglichen Ausführung beliebigen Programmcodes

CVE-2016-1012 CVE-2016-1020 CVE-2016-1021 CVE-2016-1022 CVE-2016-1023 CVE-2016-1024 CVE-2016-1025

Schwachstellen in Adobe Flash Player ermöglichen Ausführung beliebigen Programmcodes

CVE-2016-1014

Schwachstelle in Adobe Flash Player ermöglicht Ausspähen von Informationen

CVE-2016-1015

Schwachstelle in Adobe Flash Player ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-1018

Schwachstelle in Adobe Flash Player ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-1019

Schwachstelle in Adobe Flash Player ermöglicht komplette Systemübernahme

CVE-2016-1026 CVE-2016-1027 CVE-2016-1028 CVE-2016-1029 CVE-2016-1032 CVE-2016-1033

Schwachstellen in Adobe Flash Player ermöglichen Ausführung beliebigen Programmcodes

CVE-2016-1030

Schwachstelle in Adobe Flash Player ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.