Releasedatum: 5 november 2008
ID kwetsbaarheidsprobleem: APSB08-20
CVE-nummer: CVE-2008-4818, CVE-2008-4819, CVE-2008-4820, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823
Platform: alle platforms
In Adobe Flash Player 9.0.124.0 en lager zijn potentiële kwetsbaarheden geïdentificeerd waardoor een aanvaller die erin slaagt misbruik te maken van deze potentiële kwetsbaarheden, de beveiligingselementen van Flash Player kan omzeilen. Adobe raadt gebruikers aan een update uit te voeren naar de recentste versie van Flash Player die beschikbaar is voor hun platform. Er is geen actie vereist van klanten die al een update naar Flash Player 10.0.12.36 hebben uitgevoerd. De Flash Player 9.0.151.0-update biedt niet alleen oplossingen voor de problemen die in dit beveiligingsbulletin worden gemeld, maar ook voor de problemen die eerder zijn gemeld in het beveiligingsbulletin APSB08-18* en voor de problemen die zijn gemeld in het beveiligingsbulletin APSB08-22*.
17 november 2008 – Bulletin bijgewerkt met informatie over deAIR 1.5-update* en het beveiligingsbulletin APSB08-22 *
5 november 2008 – Bulletin gemaakt
Adobe Flash Player 9.0.124.0 en eerder.
Als u het versienummer van de Adobe Flash Player wilt verifiëren, opent u de pagina About Flash Player of klikt u met de rechtermuisknop op Flash-inhoud en selecteert u About Adobe (of Macromedia) Flash Player in het menu. Als u meerdere browsers gebruikt, verricht u deze controle voor elke browser die u op uw systeem hebt geïnstalleerd.
Adobe raadt alle gebruikers van Adobe Flash Player 9.0.124.0 en eerdere versies aan een upgrade uit te voeren naar de nieuwste versie 10.0.12.36, door deze te downloaden vanaf het Player Download Center of door het mechanisme voor automatische updates in het product te gebruiken wanneer hierover een melding verschijnt.
Voor gebruikers die geen update naar Flash Player 10 kunnen uitvoeren, heeft Adobe een patchversie van Flash Player 9, Flash Player 9.0.151.0, ontwikkeld. Deze kan via de volgende koppeling* worden gedownload.
Adobe categoriseert dit als een kritieke* update vanwege de problemen die eerder zijn gemeld in het beveiligingsbulletin APSB08-18* en raadt betrokken gebruikers aan een upgrade naar versie 10.0.12.36 uit te voeren.
Naast de problemen die eerder zijn gemeld in het beveiligingsbulletin APSB08-18 en in het beveiligingsbulletin APSB08-22*, bieden de Flash Player 10.0.12.36- en Flash Player 9.0.151.0-updates oplossingen voor de problemen die hieronder worden beschreven.
Deze update wijzigt de manier waarop Flash Player HTTP-antwoordheaders interpreteert om een aanval met scripts die verwijzen naar andere sites te voorkomen. (CVE-2008-4818)
Deze update introduceert een wijziging waarmee een mogelijk probleem wordt verholpen dat een aanvaller in staat zou kunnen stellen een DNS rebinding-aanval uit te voeren. (CVE-2008-4819)
Deze update introduceert een striktere interpretatie van een ActionScript-kenmerk om een potentieel probleem met HTML-injectie te voorkomen. (CVE-2008-4823)
Deze update voorkomt een probleem met de interpretatie van beleidsbestanden dat mogelijk kan leiden tot het omzeilen van het beleid voor een niet-hoofddomein. (CVE-2008-4822)
Deze update voorkomt een probleem met de methode waarmee Flash Player het JAR-protocol in Mozilla-browsers interpreteert, wat mogelijk kan leiden tot de openbaarmaking van informatie. (CVE-2008-4821)
Deze update voorkomt een probleem met de mogelijke openbaarmaking van informatie (alleen voor Windows) in het Flash Player ActiveX-besturingselement. (CVE-2008-4820)
Betrokken software: |
Aanbevolen Player-update |
Beschikbaarheid |
Flash Player 9.0.124.0 en lager |
10.0.12.36 |
|
Flash Player 9.0.124.0 en lager - netwerkdistributie |
10.0.12.36 |
|
Flash Player 9.0.124.0 en lager voor Linux |
10.0.12.36 |
|
AIR 1.1 |
AIR 1.5 |
|
Flash CS4 Professional |
10.0.12.36 |
|
Flex 3 |
10.0.12.36 |
Adobe dankt de volgende personen en organisaties voor het melden van de relevante problemen en voor hun samenwerking met Adobe om de veiligheid van onze klanten te helpen beschermen:
