1. Home
2. Support
3. Sicherheitshinweise

Sicherheitsbulletin

Sicherheits-Updates für Adobe Flash Player

Freigabedatum: 8. Dezember 2009

Letzte Aktualisierung: 10. Dezember 2009

Kennung der Sicherheitslücke: APSB09-19

CVE-Nummern: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951

Plattform: Alle Plattformen

Zusammenfassung

In Adobe Flash Player 10.0.32.18 sowie früheren Versionen wurden kritische Sicherheitslücken entdeckt. Die Schwachstellen können zum Absturz der Anwendung führen und einem Angreifer die Übernahme des betroffenen Systems ermöglichen.

Adobe empfiehlt Anwendern von Flash Player 10.0.32.18 und früheren Versionen die Aktualisierung auf Flash Player 10.0.42.34. Adobe empfiehlt Anwendern von Adobe AIR 1.5.2 und früheren Versionen die Aktualisierung auf Adobe AIR 1.5.3. 

Betroffene Software-Versionen

Adobe Flash Player 10.0.32.18 und früher
Adobe AIR 1.5.2 und früher

Um die Versionsnummer Ihrer Adobe Flash Player-Installation herauszufinden, öffnen Sie entweder die Info-Seite zu Flash Player oder klicken mit der rechten Maustaste auf einen beliebigen Inhalt im Flash Player und wählen im Kontextmenü den Befehl „Über Adobe (oder Macromedia) Flash Player“. Wenn Sie mit mehreren Browsern arbeiten, führen Sie die Prüfung für jeden aus.

Lösung

Adobe Flash Player
Adobe empfiehlt allen Anwendern von Adobe Flash Player 10.0.32.18 und früheren Versionen, die neueste Version 10.0.42.34 vom Download-Center für Flash Player herunterzuladen und zu installieren oder die automatische Aktualisierung vom Produkt aus zu nutzen.

Für Kunden, die nicht auf Flash Player 10 aktualisieren können, hat Adobe eine besondere Version von Flash Player 9 entwickelt, die einen entsprechenden Patch enthält. Laden Sie Version 9.0.260 hier* herunter.

Adobe AIR
Adobe empfiehlt allen Anwendern von Adobe AIR 1.5.2 und früheren Versionen, die neueste Version 1.5.3 vom Download-Center für Adobe AIR herunterzuladen und zu installieren.

Schweregrad

Adobe stuft dieses Problem als kritisch ein. Die Installation der Updates wird allen betroffenen Anwendern empfohlen.

Details

In Adobe Flash Player 10.0.32.18 sowie früheren Versionen wurden kritische Sicherheitslücken entdeckt. Die Schwachstellen können zum Absturz der Anwendung führen und einem Angreifer die Übernahme des betroffenen Systems ermöglichen.

Adobe empfiehlt Anwendern von Flash Player 10.0.32.18 und früheren Versionen die Aktualisierung auf Flash Player 10.0.42.34. Adobe empfiehlt Anwendern von Adobe AIR 1.5.2 und früheren Versionen die Aktualisierung auf Adobe AIR 1.5.3. 

Dieses Update schließt eine Sicherheitslücke, die beim Parsen von JPEG-Daten entstehen kann und die Ausführung von Code ermöglicht (CVE-2009-3794).

Dieses Update schließt eine Sicherheitslücke, die das Einschleusen von Daten und die Ausführung von Code ermöglicht (CVE-2009-3796).

Dieses Update schließt eine Sicherheitslücke, die aufgrund eines beschädigten Speichers entstehen kann und die Ausführung von Code ermöglicht (CVE-2009-3797).

Dieses Update schließt eine Sicherheitslücke, die aufgrund eines beschädigten Speichers entstehen kann und die Ausführung von Code ermöglicht (CVE-2009-3798).

Dieses Update schließt eine Sicherheitslücke, die aufgrund eines Ganzzahlüberlaufs entsteht und die Ausführung von Code ermöglicht (CVE-2009-3799).

Dieses Update behebt mehrere Absturzfehler, die die Ausführung von Code ermöglichen (CVE-2009-3800).

Dieses Update behebt eine Windows-spezifische Schwachstelle im ActiveX-Steuerelement für Flash Player im Zusammenhang mit dem Zugriff auf lokale Dateinamen, die zur Offenlegung von Informationen führen kann (CVE-2009-3951). Dies ist ein Update für die bereits bekannte und mit einem Patch behobene Sicherheitslücke CVE-2008-4820.

Betroffene Version	Empfohlenes Player-Update	Verfügbarkeit
Flash Player 10.0.32.18 und früher	10.0.42.34	Download-Center für Flash Player
Flash Player 10.0.32.18 und früher – Verteilung per Netzwerk	10.0.42.34	Lizenzierung von Flash Player
Flash Player 10.0.32.18 und früher für Linux	10.0.42.34	Download-Center für Flash Player
Adobe AIR 1.5.2	Adobe AIR 1.5.3	Download-Center für AIR
Flash CS4 Professional	10.0.42.34	Flash Player 10-Update für Flash CS4 Professional*
Flash CS3 Professional	9.0.260	Update für die Debug-Version von Flash Player*
Flex 3	10.0.42.34	Update für die Debug-Version von Flash Player*

Hinweis: Adobe Flash Player 10.1 wird voraussichtlich in der ersten Jahreshälfte 2010 verfügbar sein. Dies ist die letzte Version, die PowerPC-basierte Macintosh-G3-Rechner unterstützt. Adobe wird den Support für PowerPC-basierte G3-Computer einstellen und nach Flash Player 10.1 keine weiteren Sicherheits-Updates zur Verfügung stellen, da die ältere PowerPC-Architektur eine höhere Performance nicht mehr unterstützen kann.

Danksagung

Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Schwachstelle und den Beitrag zum Schutz der Sicherheit unserer Kunden:

• Anonymer Anwender, gemeldet im Rahmen der Zero Day Initiative* von TippingPoint (CVE-2009-3794)
• Jim Cheng von EffectiveUI* (CVE-2009-3796)
• Bing Liu von Fortnets FortiGuard Labs* (CVE-2009-3797, CVE-2009-3798)
• Damian Put, gemeldet im Rahmen der Zero Day Initiative* von TippingPoint (CVE-2009-3799)
• Will Dormann von CERT* (CVE-2009-3800)
• Manuel Caballero und Microsoft Vulnerability Research (MSVR)* (CVE-2009-3951)

Historie

10. Dezember 2009 – Sicherheitsbulletin mit korrigierten Versionsnummern im Abschnitt „Details“ und Link zu Flash Player 9 unter „Lösung“ aktualisiert
9. Dezember 2009 – Sicherheitsbulletin mit Details zu Flash CS4 Professional, Flash CS3 Professional und Flex 3 aktualisiert
8. Dezember 2009 – Sicherheitsbulletin veröffentlicht