Freigabedatum: 18. Dezember 2007
Kennung der Sicherheitslücke: APSB07-20
CVE-Nummern: CVE-2007-6242, CVE-2007-4768, CVE-2007-5275, CVE-2007-6243, CVE-2007-6244, CVE-2007-6245, CVE-2007-4324, CVE-2007-6246, CVE-2007-5476
Plattform: Alle Plattformen
Betroffene Software-Versionen: Adobe Flash Player 9.0.48.0 und früher, 8.0.35.0 und früher sowie 7.0.70.0 und früher
In Adobe Flash Player wurden verschiedene Sicherheitslücken entdeckt, die es einem Angreifer ermöglichen könnten, die Kontrolle über das betroffene System zu übernehmen. Der Schlüssel zu dieser Schwachstelle ist für den Angreifer eine mit bösartigem Code präparierte SWF-Datei, die der Endanwender in Flash Player öffnet. Es wird empfohlen, dass alle betroffenen Anwender auf die – je nach System – neueste Version von Flash Player aktualisieren.
Adobe Flash Player 9.0.48.0 und früher, 8.0.35.0 und früher sowie 7.0.70.0 und früher
Um die Versionsnummer Ihrer Adobe Flash Player-Installation herauszufinden, öffnen Sie entweder die Info-Seite zu Flash Player oder klicken mit der rechten Maustaste auf einen beliebigen Flash-Inhalt und wählen im Kontextmenü den Befehl „Über Adobe (oder Macromedia) Flash Player“. Wenn Sie mit mehreren Browsern arbeiten, führen Sie die Prüfung für jeden aus.
Adobe empfiehlt allen Anwendern von Flash Player 9.0.48.0 und früheren Versionen, die neueste Version 9.0.115.0 (Windows, Mac, Linux) vom Download-Center für Flash Player herunterzuladen und zu installieren oder die automatische Aktualisierung vom Produkt aus zu nutzen.
Für Kunden, die nicht auf Flash Player 9 aktualisieren können, hat Adobe eine besondere Version von Flash Player 7 entwickelt, die den entsprechenden Patch enthält. Lesen Sie hierzu bitte den technischen Hinweis (TechNote) zum Flash Player-Update*.
Adobe stuft dieses Update als kritisch ein und empfiehlt betroffenen Anwendern die Installation des Updates auf Version 9.0.115.0 (Windows, Mac, Linux).
In Flash Player 9.0.48.0 und früheren Versionen wurden verschiedene Fehler bei der Eingabevalidierung entdeckt, die unter Umständen die Ausführung von schädlichem Code ermöglichen. Bei einem Angriff könnten diese Sicherheitslücken ausgenutzt werden, indem von einer externen Stelle über den Webbrowser, die E-Mail-Anwendung oder eine andere Anwendung, die Flash Player nutzt oder darauf verlinkt, schädliche Inhalte eingeschleust werden. (CVE-2007-4768, CVE-2007-6242)
Das Update mindert das Risiko eines DNS-Rebinding-Angriffs. Weitere Informationen finden Sie im folgenden Developer Center-Artikel*. (CVE-2007-5275)
Mit dem Update wird außerdem ein neues, präziseres Verfahren eingeführt, nach dem Flash Player domänenübergreifende Richtliniendateien interpretiert. Auf diese Weise lassen sich potenzielle Sicherheitslücken bei den Zugriffsrechten für Webserver beheben, auf denen Flash-Inhalte und domänenübergreifende Richtliniendateien gehostet werden. Weitere Informationen finden Sie im folgenden Developer Center-Artikel*. (CVE-2007-6243)
Darüber hinaus werden die Möglichkeiten des nicht unterstützten asfunction:-Protokolls eingeschränkt, das bisher Cross-Site-Scripting-Angriffe mittels präparierter SWF-Dateien zuließ. Dieses Problem tritt nur in Flash Player 8 und Flash Player 9 auf. Anwender von Flash Player 7 sind nicht betroffen. (CVE-2007-6244)
Mit dem Update wird die navigateToURL-Funktion angepasst, um Universal-Cross-Site-Scripting-Angriffen vorzubeugen. Dieses Problem tritt speziell beim Flash Player ActiveX-Steuerelement und Internet Explorer auf. (CVE-2007-6244)
Außerdem behebt das Update eine Schwachstelle, die es einem externen Angreifer ermöglicht, HTTP-Header von Web-Seiten zu manipulieren und HTTP-Request-Splitting-Angriffe auszuführen. (CVE-2007-6245)
Das Update schließt auch eine potenzielle Sicherheitslücke, über die ein Angreifer offene TCP-Ports durch das Scannen von Zielrechnern finden könnte. Weitere Informationen finden Sie im folgenden Knowledgebase-Artikel*. (CVE-2007-4324)
Das Linux-Update für Flash Player behebt eine Schwachstelle, die den Missbrauch von Zugriffsrechten bei der Speicherzuweisung ermöglicht. (CVE-2007-6246)
Das Update für die Macintosh-Version von Flash Player löst ein Problem, das ursprünglich von Opera gemeldet wurde und im Sicherheitshinweis APSA07-05 dokumentiert ist. (CVE-2007-5476)
| Betroffene Version | Empfohlenes Player-Update | Verfügbarkeit |
|---|---|---|
| Flash Player 9.0.48.0 und früher | 9.0.115.0 | Download-Center für Flash Player |
| Flash Player 9.0.48.0 und früher – Verteilung per Netzwerk | 9.0.115.0 | Web-Seite für die Lizenzierung von Flash Player |
| Flash CS3 Professional | 9.0.115.0 | Flash Player 9-Update für Flash CS3 Professional |
| Flash Player 9.0.48.0 und früher für Linux | 9.0.115.0 | Download-Center für Flash Player |
| Flex 2.0 | 9.0.115.0 | Update für die Debug-Version von Flash Player |
Mit der Veröffentlichung dieses Sicherheitsbulletins stellt Adobe den Support für Adobe Flash Player 7 ein und bietet keine entsprechenden Sicherheits-Updates mehr an. Gemäß den Support-Richtlinien von Adobe wird nur noch für die aktuelle und die Vorgängerversion von Adobe Flash Player Unterstützung angeboten. Sicherheits-Patches für Flash Player 7 wurden für Anwender der Betriebssysteme Microsoft Windows 95, Microsoft Windows NT und Macintosh Classic bis zur Veröffentlichung von Flash Player 8 im September 2005 sowie für Anwender von Linux und Solaris bis zur Einführung von Flash Player 9 bereitgestellt. Für Kunden, die Adobe Flash Player 7 weiterhin verwenden möchten, stehen Installationsdateien in der folgenden archivierten TechNote zu Flash Player zur Verfügung.
Adobe bedankt sich bei Tavis Ormandy und Will Drewry vom Google Security Team für das Melden der Fehler bei der Eingabevalidierung und den Beitrag zum Schutz der Sicherheit unserer und Googles Kunden. (CVE-2007-4768)
Adobe bedankt sich bei Aaron Portnoy von TippingPoint DVLabs für das Melden des Fehlers bei der Eingabevalidierung und den Beitrag zum Schutz der Sicherheit unserer Kunden und der Kunden von TippingPoint DVLabs. (CVE-2007-6242)
Adobe bedankt sich bei Dan Boneh, Adam Barth, Andrew Bortz, Collin Jackson und Weidong Shao von der Stanford University für das Melden des DNS-Rebinding-Problems und den Beitrag zum Schutz der Sicherheit unserer Kunden. (CVE-2007-5275)
Adobe bedankt sich bei Toshiharu Sugiyama von UBsecure, Inc. und JPCERT/CC für das Melden der Sicherheitslücken im Zusammenhang mit domänenübergreifenden Richtliniendateien und HTTP-Headern und den Beitrag zum Schutz der Sicherheit unserer Kunden sowie der Kunden von UBsecure, Inc. und JPCERT/CC. (CVE-2007-6243, CVE-2007-6245)
Adobe bedankt sich bei Rich Cannings vom Google Security Team für das Melden der Schwachstelle im asfunction:-Protokoll und den Beitrag zum Schutz der Sicherheit unserer und Googles Kunden. (CVE-2007-6244)
Adobe bedankt sich bei Collin Jackson und Adam Barth von der Stanford University für das Melden der Sicherheitslücke bei der navigateToURL-Funktion und den Beitrag zum Schutz der Sicherheit unserer Kunden. (CVE-2007-6244)
Adobe bedankt sich bei Jesse Michael und Thomas Biege von SUSE für das Melden der Fehler bei der Rechtevergabe in der Linux-Version von Flash Player und den Beitrag zum Schutz der Sicherheit unserer Kunden. (CVE-2007-6246)
Adobe bedankt sich bei Opera für das Melden der Sicherheitslücke in der Mac-Version von Flash Player und den Beitrag zum Schutz der Sicherheit unserer und Operas Kunden. (CVE-2007-5476)
Durch die Nutzung der Software von Adobe Systems Incorporated oder seiner Tochtergesellschaften („Adobe“) erklären Sie sich mit den im Folgenden genannten Nutzungsbedingungen einverstanden. Setzen Sie die Software nicht ein, wenn Sie die Vertragsbedingungen nicht akzeptieren. Falls beim Download oder der Installation einer Programmdatei eine Lizenzvereinbarung für Endanwender mitgeliefert wurde, ersetzt diese die nachfolgend aufgeführten Nutzungsbedingungen.
Die Ausfuhr und Wiederausfuhr von Adobe-Software-Produkten unterliegen den United States Export Administration Regulations (Exportbestimmungen der Vereinigten Staaten). Die Software darf nicht in die folgenden Länder ausgeführt oder wiederausgeführt werden: Kuba, Iran, Irak, Libyen, Nordkorea, Sudan, Syrien oder ein anderes Land, für das ein Handelsembargo der Vereinigten Staaten besteht. Darüber hinaus darf Adobe-Software nicht an Personen weitergegeben werden, die in folgenden Dokumenten geführt werden: Table of Denial Orders, Entity List, List of Specially Designated Nationals.
Wenn Sie ein Adobe-Software-Produkt herunterladen, erklären Sie damit, dass Sie kein Staatsangehöriger eines der folgenden Länder sind: Kuba, Iran, Irak, Libyen, Nordkorea, Sudan, Syrien oder ein anderes Land, für das ein Handelsembargo der Vereinigten Staaten besteht. Sie erklären außerdem, dass Ihr Name nicht in den folgenden Dokumenten geführt wird: Table of Denial Orders, Entity List, List of Specially Designated Nationals.
Wenn die Software zum gemeinsamen Einsatz mit einer Software-Anwendung („Host-Anwendung“) von Adobe konzipiert wurde, gewährt Ihnen Adobe eine nicht-exklusive Lizenz zur ausschließlichen Verwendung der Software gemeinsam mit der Host-Anwendung, vorausgesetzt, Sie besitzen eine gültige Lizenz von Adobe für die Host-Anwendung. Mit Ausnahme der im Folgenden genannten Fälle unterliegt die Lizenzierung dieser Software den Bedingungen der Adobe-Lizenzvereinbarung für Endanwender, die die Nutzung der Host-Anwendung regelt.
HAFTUNGSSAUSSCHLUSS: SIE BESTÄTIGEN, DASS ADOBE IHNEN HINSICHTLICH DER SOFTWARE KEINE SPEZIELLE ZUSICHERUNG GEMACHT HAT UND DIE SOFTWARE IHNEN IM VORLIEGENDEN ZUSTAND ZUR VERFÜGUNG GESTELLT WIRD. ADOBE SCHLIESST JEGLICHE GARANTIEGEWÄHRLEISTUNG IHNEN GEGENÜBER AUS. ADOBE GEWÄHRT KEINE GARANTIEN, WEDER AUSDRÜCKLICHER NOCH STILLSCHWEIGENDER NATUR, HINSICHTLICH MARKTGÄNGIGKEIT, BRAUCHBARKEIT FÜR EINEN BESTIMMTEN ZWECK, MARKTÜBLICHER QUALITÄT ODER NICHTVERLETZUNG VON VERTRÄGEN MIT DRITTEN. Da in einigen Staaten oder Gerichtsbarkeiten ein Haftungsausschluss für stillschweigende Gewährleistungen nicht zulässig ist, treffen die oben genannten Einschränkungen unter Umständen nicht auf Sie zu.
HAFTUNGSBESCHRÄNKUNG: ADOBE ÜBERNIMMT KEINE HAFTUNG FÜR NICHT-EINSETZBARKEIT, DIE UNTERBRECHUNG DER GESCHÄFTSTÄTIGKEIT ODER ANDERE VERLUSTE JEGLICHER ART INFOLGE VON DIREKTEN, INDIREKTEN, ZUFÄLLIGEN ODER BESONDEREN FOLGESCHÄDEN (EINSCHLIESSLICH ENTGANGENER GEWINNE), UNABHÄNGIG DAVON, WELCHE AKTIONEN GETÄTIGT WURDE UND OB ES SICH UM EINE VERTRAGS- UND LIZENZGEMÄSSE ODER UM UNERLAUBTE NUTZUNG (EINSCHLIESSLICH FAHRLÄSSIGKEIT) HANDELTE, SELBST WENN ADOBE AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE. Da in einigen Staaten oder Gerichtsbarkeiten ein Haftungsausschluss oder eine Haftungsbeschränkung für zufällige oder Folgeschäden nicht zulässig ist, treffen die oben genannten Einschränkungen unter Umständen nicht auf Sie zu.
29. Januar 2008 – Bulletin aufgrund der Verfügbarkeit der Solaris-Version aktualisiert
18. Dezember 2007 – Bulletin erstellt
