Freigabedatum: 24. Februar 2009
Kennung der Sicherheitslücke: APSB09-01
CVE-Nummern: CVE-2009-0519, CVE-2009-0520, CVE-2009-0522, CVE-2009-0114, CVE-2009-0521
Plattform: Alle Plattformen
In Adobe Flash Player 10.0.12.36 und früheren Versionen wurde eine Sicherheitslücke entdeckt, die es einem Angreifer ermöglichen könnte, die Kontrolle über das betroffene System zu übernehmen. Der Schlüssel zu dieser Schwachstelle ist für den Angreifer eine mit bösartigem Code präparierte SWF-Datei, die der Endanwender in Flash Player öffnet. Mit diesem Update werden außerdem weitere Sicherheitslücken behoben. Es wird empfohlen, dass alle betroffenen Anwender auf die – je nach Betriebssystem – neueste Version von Flash Player aktualisieren.
Adobe Flash Player 10.0.12.36 und früher (Linux: Adobe Flash Player 10.0.15.3 und früher)
Um die Versionsnummer Ihrer Adobe Flash Player-Installation herauszufinden, öffnen Sie entweder die Info-Seite zu Flash Player oder klicken mit der rechten Maustaste auf einen beliebigen Flash-Inhalt und wählen im Kontextmenü den Befehl „Über Adobe (oder Macromedia) Flash Player“. Wenn Sie mit mehreren Browsern arbeiten, führen Sie die Prüfung für jeden aus.
Adobe empfiehlt allen Anwendern von Flash Player 10.0.12.36 und früheren Versionen, die neueste Version 10.0.22.87 vom Download-Center für Flash Player herunterzuladen und zu installieren oder die automatische Aktualisierungsfunktion des betroffenen Produkts zu nutzen.
Für Kunden, die nicht auf Flash Player 10 aktualisieren können, hat Adobe eine besondere Version von Flash Player 9 entwickelt, die einen entsprechenden Patch enthält. Laden Sie Version 9.0.159.0 hier* herunter.
Adobe stuft dieses Update als kritisch ein und empfiehlt betroffenen Anwendern die Installation des Updates auf Version 10.0.22.87.
Durch dieses Update wird ein Pufferüberlauf behoben, der einem Angreifer die Ausführung von schädlichem Code ermöglicht. (CVE-2009-0520)
Durch dieses Update werden Fehler bei der Eingabevalidierung behoben, die ein Denial-of-Service hervorrufen können. Die Ausführung von schädlichem Code wurde bislang nicht gemeldet, ist jedoch möglich. (CVE-2009-0519)
Der Einstellungs-Manager von Flash Player auf der Website von Adobe wurde aktualisiert, um eine mögliche Variante des „Clickjacking"-Problems in Flash Player auszuschließen. Der Einstellungs-Manager ist ein spezielles Bedienfeld, das auf Ihrem Rechner ausgeführt, aber über die Adobe-Website angezeigt und geöffnet wird. (CVE-2009-0114)
Dieses Update behebt ein Windows-spezifisches Problem mit dem Mauszeiger, das Clickjacking-Angriffe ermöglichen könnte. (CVE-2009-0522)
Das Update behebt ein Linux-spezifisches Problem in den Binärdateien für Flash Player, das zur Offenlegung von Informationen und somit zum Missbrauch von Zugriffsrechten führen könnte. (CVE-2009-0521)
Betroffene Version |
Empfohlenes Player-Update |
Verfügbarkeit |
Flash Player 10.0.12.36 und früher |
10.0.22.87 |
|
Flash Player 10.0.12.36 und früher – Verteilung per Netzwerk |
10.0.22.87 |
|
Flash Player 10.0.15.3 und früher für Linux |
10.0.22.87 |
|
AIR 1.5 |
AIR 1.5.1 |
|
Flash CS4 Professional |
10.0.22.87 |
|
Flash CS3 Professional |
9.0.159.0 |
|
Flex 3 |
10.0.22.87 |
Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:
Javier Vicente Vallejo von iDefense VCP (CVE-2009-0520)
