2016-0963: Adobe Flash Player: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme

Historie:

Version 1 (2016-06-15 12:25): Neues Advisory
Version 2 (2016-06-17 16:48): Die Sicherheitsmeldung wird gemäß Adobe Security Bulletin APSB16-18 wesentlich ergänzt (siehe unter: Aktualisierung vom 17. Juni 2016). Mit den angekündigten, nun bereitgestellten Sicherheitsupdates für Adobe Flash Player werden die mit Adobe Security Advisory APSA16-03 benannte CVE-2016-4171 sowie 35 weitere Schwachstellen adressiert.
Version 3 (2016-06-20 11:27): Für SUSE Linux Enterprise Workstation Extension 12 und 12 SP1, SUSE Linux Enterprise Desktop 12 und 12 SP1 sowie openSUSE 13.1 und 13.2 stehen Sicherheitsupdates bereit.
Version 4 (2016-06-21 15:36): Apple informiert mit APPLE-SA-2016-06-20-2 (HT202681) darüber, dass wegen Sicherheitsmängeln alle Flash Player Plug-In Versionen vor Flash Player 22.0.0.192 und 18.0.0.360 auf Apple Mac OS X geblockt werden.

Betroffene Software

Office

Betroffene Plattformen

Apple
Google
Linux
Microsoft

Beschreibung:

Ein entfernter, nicht authentifizierter Angreifer kann eine Schwachstelle im Adobe Flash Player bis inklusive Version 21.0.0.242 für Windows, Macintosh, Linux und Chrome OS ausnutzen, um einen Denial-of-Service-Angriff (DoS-Angriff) durchzuführen und außerdem eventuell die Kontrolle über das betroffene System zu übernehmen.

Adobe informiert über diese Schwachstelle und bestätigt die aktive Ausnutzung. Adobe plant ein Sicherheitsupdate für den 16. Juni 2016.

Aktualisierung vom 17. Juni 2016:
Adobe informiert in einem gesonderten Sicherheitshinweis (APSB16-18) über die kritischen Schwachstellen im Adobe Flash Player 21.0.0.242 und früher, durch die ein entfernter, nicht authentifizierter Angreifer beliebigen Programmcode auf dem betroffenen System ausführen und in der Folge das System übernehmen sowie sensitive Informationen ausspähen kann. Betroffen sind auch das Extended Support Release in Version 18.0.0.352 und früher, Adobe Flash Player für Google Chrome 21.0.0.242 und früher, Adobe Flash Player für Microsoft Edge sowie Internet Explorer 11 21.0.0.242 und früher sowie Adobe Flash Player für Linux 11.2.202.621 und früher.

Adobe stellt aktualisierte Programmversionen des Flash Players zur Verfügung, um die Schwachstellen zu beheben. Nutzer von Adobe Flash Player Desktop für Windows und Macintosh werden gebeten, den Flash Player über den Update-Mechanismus innerhalb des Produktes auf Version 22.0.0.192 zu aktualisieren. Benutzer des Linux Flash Players und des Extended Support Release (ESR) finden die Sicherheitsupdates (Linux: 11.2.202.626, ESR: 18.0.0.360) auf den Webeiten des Herstellers. Benutzern von Google Chrome sowie Microsoft Internet Explorer 11 und Edge werden die Sicherheitsupdates auf Version 22.0.0.192 automatisch zur Verfügung gestellt.

Microsoft informiert in einem gesonderten Sicherheitshinweis (MS16-083) über die Schwachstellen im Adobe Flash Player in allen unterstützten Editionen von Windows 8.1, Windows Server 2012 und 2012 R2, Windows RT 8.1 und Windows 10. Microsoft erwähnt dabei zusätzlich die Schwachstelle CVE-2016-4121, die von Adobe bereits im Mai behoben wurde und weist darauf hin, dass das Update für Windows RT 8.1 über Windows Update erhältlich ist und die Updates für Windows 10 zusätzlich im Microsoft Update Catalog zu finden sind. Die Schwachstelle CVE-2016-4126 für Adobe AIR Desktop Runtime auf Windows (siehe gesonderter Adobe Sicherheitshinweis APSB16-23) wird von Microsoft ebenfalls aufgelistet.

Red Hat stellt für die Red Hat Enterprise Linux Supplementary-Produkte Desktop 5 und 6, Server 5 und 6 sowie Workstation 6 Sicherheitsupdates für den Adobe Flash Player auf Version 11.2.202.626 bereit.