2016-0745: Adobe Flash Player: Mehrere Schwachstellen ermöglichen u.a. eine komplette Systemübernahme

Historie:

Version 1 (2016-05-11 12:14)

Neues Advisory

Version 2 (2016-05-11 18:44)

Microsoft veröffentlicht mit seiner Sicherheitsmeldung MS16-064 Sicherheitsupdates für eine Vielzahl an Schwachstellen die den Adobe Flash Player in verschiedenen Editionen von Windows betreffen. Microsoft bietet unter anderem Sicherheitsupdates für Internet Explorer 10, 11 und Microsoft Edge an. Zu den einzelnen Schwachstellen gibt es bislang keine näheren Informationen, Microsoft verweist lediglich auf ein noch nicht verfügbares Adobe Security Bulletin (APSB16-15). Die Schwachstelle CVE-2016-4117 wird in der Microsoft Sicherheitsmeldung MS16-064 nicht genannt.

Version 3 (2016-05-12 20:33)

Adobe informiert in einem gesonderten Sicherheitshinweis (APSB16-15) über die Schwachstellen im Adobe Flash Player 21.0.0.226 und früher. Betroffen sind auch der Extended Support Release in Version 18.0.0.343 und früher, Adobe Flash Player für Google Chrome 21.0.0.216 und früher, Adobe Flash Player für Microsoft Edge sowie Internet Explorer 11 21.0.0.213 und früher, Adobe Flash Player für Linux 11.2.202.616 und früher sowie der Player für die Adobe AIR Produkte Desktop Runtime, SDK, SDK & Compiler 21.0.0.198 und früher. Adobe stellt aktualisierte Programmversionen des Flash Players zur Verfügung, um die Schwachstellen zu beheben. Nutzer von Adobe Flash Player Desktop für Windows und Macintosh werden gebeten, den Flash Player über die Systemupdatesoftware auf Version 21.0.0.242 zu aktualisieren. Benutzer des Linux Flash Players und des Extended Support Release (ESR) finden die Sicherheitsupdates (Linux: 11.2.202.621, ESR: 18.0.0.352) auf den Webeiten des Herstellers. Benutzern von Google Chrome sowie Microsoft Internet Explorer 11 und Edge werden die Sicherheitsupdates auf Version 21.0.0.242 automatisch zur Verfügung gestellt. Benutzer von AIR-Produkten finden die Sicherheitsupdates auf Version 21.0.0.215 im AIR Download-Center.

Version 4 (2016-05-13 16:50)

Für Red Hat Enterprise Linux 6 Supplementary für Desktop, Server und Workstation sowie Red Hat Enterprise Linux 5 Supplementary für Desktop und Server stehen Sicherheitsupdates des Flash-Plugins in der Version 11.2.202.621 bereit.

Version 5 (2016-05-17 12:49)

Adobe korrigiert das Adobe Security Bulletin APSB16-15, da der Flash Player für Microsoft Edge und den Internet Explorer 11 auf Windows 10 und 8.1 bis einschließlich Version 21.0.0.241, und nicht wie zuvor angegeben bis Version 21.0.0.213, verwundbar ist. Korrespondierend dazu aktualisiert Microsoft die Microsoft Sicherheitshinweise MS16-064 in der englischen Version, um über die Verfügbarkeit des Updates 3163207 zu informieren, welches das zuvor veröffentlichte Update 3157993 ersetzt. Microsoft rät dringend dieses Update zu installieren. Für SUSE Linux Enterprise Workstation Extension 12 und 12 SP1, SUSE Linux Enterprise Desktop 12 und 12 SP1 sowie openSUSE 13.2 stehen Sicherheitsupdates auf die Flash Player Version 11.2.202.621 bereit.

Version 6 (2016-05-18 12:04)

Für die Distribution openSUSE 13.1 steht ein Sicherheitsupdate auf die Flash Player Version 11.2.202.621 zur Verfügung.

Version 7 (2016-05-19 16:24)

Apple informiert mit APPLE-SA-2016-05-18-1 darüber, dass wegen Sicherheitsmängeln alle Flash Player Plug-In Versionen vor Flash Player 21.0.0.242 und 18.0.0.352 auf Apple Mac OS X geblockt werden.

Betroffene Software

Office

Betroffene Plattformen

Apple
Google
Linux
Microsoft

Beschreibung:

Ein entfernter, nicht authentifizierter Angreifer kann eine Schwachstelle im Adobe Flash Player bis inklusive Version 21.0.0.226 für Windows, Macintosh, Linux und Chrome OS ausnutzen, um einen Denial-of-Service-Angriff (DoS-Angriff) durchzuführen und eventuell die Kontrolle über das betroffene System zu übernehmen.

Adobe informiert über diese Schwachstelle und bestätigt deren aktive Ausnutzung. Ein Sicherheitsupdate wird nach Herstellerangaben am 12. Mai 2016 verfügbar sein.

Aktualisierung vom 11. Mai 2016: Microsoft veröffentlicht mit seiner Sicherheitsmeldung MS16-064 Sicherheitsupdates für eine Vielzahl an Schwachstellen, die den Adobe Flash Player in verschiedenen Editionen von Windows betreffen. Microsoft bietet unter anderem Sicherheitsupdates für Internet Explorer 10, 11 und Microsoft Edge an. Zu den einzelnen Schwachstellen gibt es bislang keine näheren Informationen, Microsoft verweist lediglich auf ein noch nicht verfügbares Adobe Security Bulletin (APSB16-15). Die Schwachstelle CVE-2016-4117 wird in der Microsoft Sicherheitsmeldung MS16-064 nicht genannt.

Aktualisierung vom 12. Mai 2016: Adobe informiert in einem gesonderten Sicherheitshinweis (APSB16-15) über die Schwachstellen im Adobe Flash Player 21.0.0.226 und früher. Betroffen sind auch der Extended Support Release in Version 18.0.0.343 und früher, Adobe Flash Player für Google Chrome 21.0.0.216 und früher, Adobe Flash Player für Microsoft Edge sowie Internet Explorer 11 21.0.0.213 und früher, Adobe Flash Player für Linux 11.2.202.616 und früher sowie der Player für die Adobe AIR Produkte Desktop Runtime, SDK, SDK & Compiler 21.0.0.198 und früher.

Adobe stellt aktualisierte Programmversionen des Flash Players zur Verfügung, um die Schwachstellen zu beheben. Nutzer von Adobe Flash Player Desktop für Windows und Macintosh werden gebeten, den Flash Player über die Systemupdatesoftware auf Version 21.0.0.242 zu aktualisieren. Benutzer des Linux Flash Players und des Extended Support Release (ESR) finden die Sicherheitsupdates (Linux: 11.2.202.621, ESR: 18.0.0.352) auf den Webeiten des Herstellers. Benutzern von Google Chrome sowie Microsoft Internet Explorer 11 und Edge werden die Sicherheitsupdates auf Version 21.0.0.242 automatisch zur Verfügung gestellt. Benutzer von AIR-Produkten finden die Sicherheitsupdates auf Version 21.0.0.215 im AIR Download-Center.

Aktualisierung am 17. Mai 2016: Adobe korrigiert das Adobe Security Bulletin APSB16-15, da der Flash Player für Microsoft Edge und den Internet Explorer 11 auf Windows 10 und 8.1 bis einschließlich Version 21.0.0.241, und nicht wie zuvor angegeben bis Version 21.0.0.213, verwundbar ist. Korrespondierend dazu aktualisiert Microsoft die Microsoft Sicherheitshinweise MS16-064 in der englischen Version, um über die Verfügbarkeit des Updates 3163207 zu informieren, welches das zuvor veröffentlichte Update 3157993 ersetzt. Microsoft rät dringend dieses Update zu installieren.

Aktualisierung vom 18. Mai 2016: Apple informiert mit APPLE-SA-2016-05-18-1 darüber, dass wegen Sicherheitsmängeln alle Flash Player Plug-In Versionen vor Flash Player 21.0.0.242 und 18.0.0.352 auf Apple Mac OS X geblockt werden.

Schwachstellen:

CVE-2016-1096 CVE-2016-1098 CVE-2016-1099 CVE-2016-1100 CVE-2016-1102 CVE-2016-1104

Schwachstellen in Adobe Flash Player ermöglichen Ausführung beliebigen Programmcodes

CVE-2016-1097 CVE-2016-1106 CVE-2016-1107 CVE-2016-1108

Schwachstellen in Adobe Flash Player ermöglichen Ausführung beliebigen Programmcodes

CVE-2016-1101

Schwachstelle in Adobe Flash Player ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-1103

Schwachstelle in Adobe Flash Player ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-1105

Schwachstelle in Adobe Flash Player ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-1109 CVE-2016-1110 CVE-2016-4108 CVE-2016-4110

Schwachstellen in Adobe Flash Player ermöglichen Ausführung beliebigen Programmcodes

CVE-2016-4109 CVE-2016-4111 CVE-2016-4112 CVE-2016-4113 CVE-2016-4114 CVE-2016-4115

Schwachstellen in Adobe Flash Player ermöglichen Ausführung beliebigen Programmcodes

CVE-2016-4116

Schwachstelle in Adobe Flash Player ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-4117

Schwachstelle im Adobe Flash Player ermöglicht komplette Systemübernahme

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.