Freigabedatum: 30. Juli 2009
Letzte Aktualisierung: 3. August 2009
Kennung der Sicherheitslücke: APSB09-10
CVE-Nummern: CVE-2009-1862, CVE-2009-0901, CVE-2009-2495, CVE-2009-2493, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865, CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869, CVE-2009-1870
Plattform: Alle Plattformen
In Adobe Flash Player 9.0.159.0 und 10.0.22.87 für Windows, Macintosh, Linux und Solaris sowie in der authplay.dll-Komponente von Adobe Reader und Adobe Acrobat 9.x für Windows, Macintosh und UNIX wurden kritische Sicherheitslücken entdeckt. Diese Schwachstellen können zum Absturz der Anwendung führen und einem Angreifer die Übernahme des betroffenen Systems ermöglichen.
Adobe empfiehlt Anwendern von Flash Player 9.x, 10.x und früheren Versionen die Aktualisierung auf Flash Player 9.0.246.0 bzw. 10.0.32.18. Anwendern von Adobe AIR 1.5.1 (und früher) wird das Update auf Adobe AIR 1.5.2 empfohlen. Anwendern von Adobe Reader 9 und Adobe Acrobat 9 sowie deren Vorgängerversionen empfiehlt Adobe die Aktualisierung auf Adobe Reader 9.1.3 bzw. Adobe Acrobat 9.1.3.
Hinweis: Aufgrund dieses außerplanmäßigen Sicherheits-Updates für Adobe Reader und Adobe Acrobat erscheint das nächste vierteljährliche Update für Adobe Reader und Adobe Acrobat voraussichtlich am 13. Oktober 2009.
Adobe Flash Player 9.0.159.0 und 10.0.22.87 sowie frühere 9.x- und 10.x-Versionen
Um die Versionsnummer Ihrer Adobe Flash Player-Installation herauszufinden, öffnen Sie entweder die Info-Seite zu Flash Player oder klicken mit der rechten Maustaste auf einen beliebigen Flash-Inhalt und wählen im Kontextmenü den Befehl „Über Adobe (oder Macromedia) Flash Player“. Wenn Sie mit mehreren Browsern arbeiten, führen Sie die Prüfung für jeden aus.
Adobe AIR 1.5.1 und früher
Adobe Reader und Adobe Acrobat 9.1.2 sowie frühere 9.x-Versionen
Adobe Flash Player
Adobe empfiehlt allen Anwendern von Adobe Flash Player 10.0.22.87 und früheren Versionen, die neueste Version 10.0.32.18 vom Download-Center für Flash Player herunterzuladen und zu installieren oder die automatische Aktualisierung vom Produkt aus zu nutzen.
Für Kunden, die nicht auf Flash Player 10 aktualisieren können, hat Adobe eine besondere Version von Flash Player 9 entwickelt, die einen entsprechenden Patch enthält. Laden Sie Version 9.0.246.0 hier* herunter.
Adobe AIR
Adobe empfiehlt allen Anwendern von Adobe AIR 1.5.1 und früheren Versionen, die neueste Version 1.5.2 vom Download-Center für Adobe AIR herunterzuladen und zu installieren.
Adobe Reader
Anwender, die den vollständigen Installer für Version 9.1 unter http://get.adobe.com/reader/ herunterladen, erhalten beim ersten Start der Anwendung die Möglichkeit zur Installation des Adobe Reader 9.1.3-Patches. Um sicherzustellen, dass Ihre Installation auf dem neuesten Stand ist und alle Patches umfasst, wählen Sie im Hilfemenü den Befehl „Nach Updates suchen“. Alternativ können Sie die Version 9.1.3 von der Adobe-Website unter „Produktaktualisierungen“ herunterladen.
Anwender von Adobe Reader für Windows finden das entsprechende Update unter: www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
Anwender von Adobe Reader für Macintosh finden das entsprechende Update unter: www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh
Anwender von Adobe Reader für UNIX finden das entsprechende Update unter: www.adobe.com/support/downloads/product.jsp?product=10&platform=Unix
Adobe Acrobat
Anwender von Adobe Acrobat Standard und Pro für Windows finden das entsprechende Update unter:
www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
Anwender von Acrobat Pro Extended für Windows finden das entsprechende Update unter: www.adobe.com/support/downloads/product.jsp?product=158&platform=Windows
Anwender von Acrobat Pro für Macintosh finden das entsprechende Update unter:
www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh
Adobe stuft dieses Problem als kritisch ein. Die Installation der Updates wird allen betroffenen Anwendern empfohlen.
In Adobe Flash Player 9.0.159.0 und 10.0.22.87 für Windows, Macintosh, Linux und Solaris sowie in der authplay.dll-Komponente von Adobe Reader und Adobe Acrobat 9.x für Windows, Macintosh und UNIX wurden kritische Sicherheitslücken entdeckt. Die Schwachstellen können zum Absturz der Anwendung führen und einem Angreifer die Übernahme des betroffenen Systems ermöglichen.
Adobe empfiehlt Anwendern von Flash Player 9.x, 10.x und früheren Versionen die Aktualisierung auf Flash Player 9.0.246.0 bzw. 10.0.32.18. Anwendern von Adobe AIR 1.5.1 (und früher) wird das Update auf Adobe AIR 1.5.2 empfohlen. Anwendern von Adobe Reader 9 und Adobe Acrobat 9 sowie deren Vorgängerversionen empfiehlt Adobe die Aktualisierung auf Adobe Reader 9.1.3 bzw. Adobe Acrobat 9.1.3.
Das Update für Adobe Flash Player, Adobe AIR, Adobe Reader und Adobe Acrobat schließt eine Sicherheitslücke, die aufgrund eines beschädigten Speichers entstehen kann und die Ausführung von externem Code ermöglicht (CVE-2009-1862).
Mit dem Update für Adobe Flash Player wird die Schwachstelle in der Microsoft Active Template Library (ATL) behoben (siehe Microsoft-Sicherheitsempfehlung 973882*). Die Sicherheitslücke könnte es einem Angreifer ermöglichen, die Kontrolle über das betroffene System zu übernehmen (CVE-2009-0901, CVE-2009-2495, CVE-2009-2493).
Das Update für Adobe Flash Player schließt eine Sicherheitslücke bei Zugriffsrechten unter Macintosh. Über diese Schwachstelle könnte sich ein unbefugter Anwender mit Desktop-Zugriff Administratorrechte verschaffen (CVE-2009-1863).
Das Update für Adobe Flash Player und Adobe AIR behebt Fehler aufgrund eines Heap-Überlaufs, die die Ausführung von Code ermöglichen (CVE-2009-1864).
Das Update für Adobe Flash Player und Adobe AIR schließt die Sicherheitslücke, die aufgrund einer fehlerhaften Nullzeiger-Referenzierung entstehen kann und die Ausführung von externem Code ermöglicht (CVE-2009-1865).
Das Update für Adobe Flash Player und Adobe AIR schließt eine Sicherheitslücke, die aufgrund eines Stapelüberlaufs entstehen kann und die Ausführung von externem Code ermöglicht (CVE-2009-1866).
Das Update für Adobe Flash Player und Adobe AIR behebt die Schwachstelle, die Clickjacking-Angriffe ermöglicht. Dabei werden Browser-Anwender dazu bewegt, auf einen manipulierten Link oder Dialog zu klicken (CVE-2009-1867).
Das Update für Adobe Flash Player und Adobe AIR schließt die Sicherheitslücke, die aufgrund eines Heap-Überlaufs bei der URL-Analyse entstehen kann und die Ausführung von externem Code ermöglicht (CVE-2009-1868).
Durch das Update für Adobe Flash Player und Adobe AIR wird ein Ganzzahlüberlauf behoben, der die Ausführung von externem Code ermöglicht (CVE-2009-1869).
Das Update für Adobe Flash Player und Adobe AIR behebt eine Schwachstelle in der lokalen Sandbox, die u. U. beim Speichern von SWF-Dateien auf der Festplatte Informationen offenlegt (CVE-2009-1870).
Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:
3. August 2009 – Bulletin mit Bekanntgabe des verfügbaren Updates für Adobe Flash Player 9 und 10 für Solaris aktualisiert
31. Juli 2009 – Bulletin mit Informationen zu den Updates für Adobe Reader und Adobe Acrobat sowie mit dem korrekten Download-Link für Adobe Flash Player 9 aktualisiert
30. Juli 2009 – Bulletin erstellt
