Freigabedatum: 12. September 2006
Kennung der Sicherheitslücke: APSB06-11
CVE-Nummern: CVE-2006-3014, CVE-2006-3311, CVE-2006-3587, CVE-2006-3588, CVE-2006-4640
Plattform: Alle Plattformen
In Flash Player 8.0.24.0 und früheren Versionen wurden verschiedene Sicherheitslücken entdeckt, die es einem Angreifer ermöglichen könnten, die Kontrolle über das betroffene System zu übernehmen. Der Schlüssel zu dieser Schwachstelle ist für den Angreifer eine mit bösartigem Code präparierte SWF-Datei, die der Endanwender in Flash Player öffnet. Es wird empfohlen, dass alle betroffenen Anwender auf die – je nach System – neueste Version von Flash Player aktualisieren.
Adobe empfiehlt allen Anwendern von Flash Player 8.0.24.0 und früheren Versionen, die neueste Version 9.0.16.0 vom Download-Center für Flash Player* herunterzuladen und zu installieren oder die automatische Aktualisierung vom Produkt aus zu nutzen.
Kunden, die nicht auf Flash Player 9 aktualisieren können, sollten den technischen Hinweis (TechNote) zum Flash Player-Update* lesen.
Adobe stellt Unternehmen eine kostenlose Lizenz zur Weiterverteilung von Flash Player über ihr Intranet oder zusammen mit eigenen Software-Produkten und -Services zur Verfügung. Um weitere Informationen zu erhalten und eine Lizenz zu beantragen, füllen Sie bitte dieses Online-Formular* aus.
Wenn Sie die Ratschläge von Adobe im technischen Hinweis zum Flash Player-Update* nicht befolgen können und auch die Installation einer neueren Version von Flash Player nicht möglich ist, wenden Sie sich bitte unter PSIRT@adobe.com an das Sicherheitsteam von Adobe.
Adobe Flash Player 8.0.24 und früher
Finden Sie die Versionsnummer Ihrer Flash Player-Installation heraus. Öffnen Sie dazu entweder die Homepage von Flash Player, oder klicken Sie mit der rechten Maustaste auf einen beliebigen Flash-Inhalt, und wählen Sie im Kontextmenü den Befehl „Über Macromedia Flash Player“. Wenn Sie mehrere verschiedene Browser verwenden, führen Sie die Prüfung und die Installation des Updates für jeden aus.
Adobe stuft dieses Update als kritisch* ein und empfiehlt betroffenen Anwendern die Installation des Updates auf Version 9.0.16.0.
In Flash Player 8.0.24.0 und früheren Versionen wurden verschiedene Fehler bei der Eingabevalidierung entdeckt, die unter Umständen die Ausführung von schädlichem Code ermöglichen. Bei einem Angriff könnten diese Sicherheitslücken ausgenutzt werden, indem von einer externen Stelle über den Webbrowser, die E-Mail-Anwendung oder eine andere Anwendung, die Flash Player nutzt oder darauf verlinkt, schädliche Inhalte eingeschleust werden. (CVE-2006-3311, CVE-2006-3587, CVE-2006-3588)
Diese Updates enthalten geänderten Programmcode, der eine Umgehung der Option „allowScriptAccess“ verhindert. (CVE-2006-4640)
Darüber hinaus enthalten die Updates Änderungen am Verhalten des ActiveX-Steuerelements in Flash Player 7 und Flash Player 8, wenn es unter Windows von einer Microsoft Office-Anwendung aufgerufen wird. Diese Änderungen entsprechen im Wesentlichen denjenigen, die mit Version 9 in Flash Player eingebaut wurden. (CVE-2006-3014)
Die Updates für Flash Player 8 (8.0.33.0) und Flash Player 7 (7.0.66.0 bzw. 7.0.68.0) betreffen Sicherheitslücken in früheren Versionen von Flash Player. Aktualisierte Versionen von Flash Player 7 für Linux und Solaris, die Korrekturen dieser Schwachstellen enthalten, sind auch im Download-Center für Flash Player* erhältlich.
| Betroffene Software-Versionen | Empfohlenes Player-Update | Verfügbarkeit |
|---|---|---|
| Flash Player 8.0.24.0 und früher | 8.0.33.0, 7.0.68.0 oder 7.0.66.0 | Download-Center für Flash Player* |
| Flash Player 8.0.24.0 und früher – Verteilung per Netzwerk | 8.0.33.0, 7.0.68.0 oder 7.0.66.0 | Web-Seite für die Lizenzierung von Flash Player * |
| Flash Professional 8, Flash Basic | 8.0.33.0 | Flash Player 8-Update für Flash Basic 8 und Flash Professional 8* |
| Flash MX 2004 | 7.0.68.0 | Flash Player 7-Update für Flash MX 2004 und Flash MX Professional 2004* |
| Flex 1.5 | 7.0.65.0 | Update für die Debug-Version von Flash Player* |
Adobe bedankt sich bei Stuart Pearson von Computer Terrorism (UK) Ltd.* für das frühzeitige Melden von Schwachstellen (CVE-2006-3311) noch vor der Veröffentlichung von Flash Player 9 und für den Beitrag zum Schutz der Sicherheit unserer Kunden.
Durch die Nutzung der Software von Adobe Systems Incorporated oder seiner Tochtergesellschaften („Adobe“) erklären Sie sich mit den im Folgenden genannten Nutzungsbedingungen einverstanden. Setzen Sie die Software nicht ein, wenn Sie die Vertragsbedingungen nicht akzeptieren. Falls beim Download oder der Installation einer Programmdatei eine Lizenzvereinbarung für Endanwender mitgeliefert wurde, ersetzt diese die nachfolgend aufgeführten Nutzungsbedingungen.
Die Ausfuhr und Wiederausfuhr von Adobe-Software-Produkten unterliegen den United States Export Administration Regulations (Exportbestimmungen der Vereinigten Staaten). Die Software darf nicht in die folgenden Länder ausgeführt oder wiederausgeführt werden: Kuba, Iran, Irak, Libyen, Nordkorea, Sudan, Syrien oder ein anderes Land, für das ein Handelsembargo der Vereinigten Staaten besteht. Darüber hinaus darf Adobe-Software nicht an Personen weitergegeben werden, die in folgenden Dokumenten geführt werden: Table of Denial Orders, Entity List, List of Specially Designated Nationals.
Wenn Sie ein Adobe-Software-Produkt herunterladen, erklären Sie damit, dass Sie kein Staatsangehöriger eines der folgenden Länder sind: Kuba, Iran, Irak, Libyen, Nordkorea, Sudan, Syrien oder ein anderes Land, für das ein Handelsembargo der Vereinigten Staaten besteht. Sie erklären außerdem, dass Ihr Name nicht in den folgenden Dokumenten geführt wird: Table of Denial Orders, Entity List, List of Specially Designated Nationals.
Wenn die Software zum gemeinsamen Einsatz mit einer Software-Anwendung („Host-Anwendung“) von Adobe konzipiert wurde, gewährt Ihnen Adobe eine nicht-exklusive Lizenz zur ausschließlichen Verwendung der Software gemeinsam mit der Host-Anwendung, vorausgesetzt, Sie besitzen eine gültige Lizenz von Adobe für die Host-Anwendung. Mit Ausnahme der im Folgenden genannten Fälle unterliegt die Lizenzierung dieser Software den Bedingungen der Adobe-Lizenzvereinbarung für Endanwender, die die Nutzung der Host-Anwendung regelt.
HAFTUNGSSAUSSCHLUSS: SIE BESTÄTIGEN, DASS ADOBE IHNEN HINSICHTLICH DER SOFTWARE KEINE SPEZIELLE ZUSICHERUNG GEMACHT HAT UND DIE SOFTWARE IHNEN IM VORLIEGENDEN ZUSTAND ZUR VERFÜGUNG GESTELLT WIRD. ADOBE SCHLIESST JEGLICHE GARANTIEGEWÄHRLEISTUNG IHNEN GEGENÜBER AUS. ADOBE GEWÄHRT KEINE GARANTIEN, WEDER AUSDRÜCKLICHER NOCH STILLSCHWEIGENDER NATUR, HINSICHTLICH MARKTGÄNGIGKEIT, BRAUCHBARKEIT FÜR EINEN BESTIMMTEN ZWECK, MARKTÜBLICHER QUALITÄT ODER NICHTVERLETZUNG VON VERTRÄGEN MIT DRITTEN. Da in einigen Staaten oder Gerichtsbarkeiten ein Haftungsausschluss für stillschweigende Gewährleistungen nicht zulässig ist, treffen die oben genannten Einschränkungen unter Umständen nicht auf Sie zu.
HAFTUNGSBESCHRÄNKUNG: ADOBE ÜBERNIMMT KEINE HAFTUNG FÜR NICHT-EINSETZBARKEIT, DIE UNTERBRECHUNG DER GESCHÄFTSTÄTIGKEIT ODER ANDERE VERLUSTE JEGLICHER ART INFOLGE VON DIREKTEN, INDIREKTEN, ZUFÄLLIGEN ODER BESONDEREN FOLGESCHÄDEN (EINSCHLIESSLICH ENTGANGENER GEWINNE), UNABHÄNGIG DAVON, WELCHE AKTIONEN GETÄTIGT WURDE UND OB ES SICH UM EINE VERTRAGS- UND LIZENZGEMÄSSE ODER UM UNERLAUBTE NUTZUNG (EINSCHLIESSLICH FAHRLÄSSIGKEIT) HANDELTE, SELBST WENN ADOBE AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE. Da in einigen Staaten oder Gerichtsbarkeiten ein Haftungsausschluss oder eine Haftungsbeschränkung für zufällige oder Folgeschäden nicht zulässig ist, treffen die oben genannten Einschränkungen unter Umständen nicht auf Sie zu.
