Releasedatum: 24 februari 2009
ID kwetsbaarheidsprobleem: APSB09-01
CVE-nummer: CVE-2009-0519, CVE-2009-0520, CVE-2009-0522, CVE-2009-0114, CVE-2009-0521
Platform: alle platforms
Er is een mogelijk kwetsbaarheidsprobleem geïdentificeerd in Adobe Flash Player 10.0.12.36 en eerdere versies waarmee een aanvaller die erin slaagt deze kwetsbaarheid te misbruiken, controle kan verkrijgen over het desbetreffende systeem. De gebruiker moet echter eerst een kwaadaardig SWF-bestand in Flash Player laden voordat een aanvaller deze potentiële kwetsbaarheid kan misbruiken. In deze update zijn nog andere kwetsbaarheden opgelost. Adobe raadt gebruikers aan een update uit te voeren naar de recentste versie van Flash Player die beschikbaar is voor hun platform.
Adobe Flash Player 10.0.12.36 en eerdere versies (Adobe Flash Player 10.0.15.3 en eerdere versies voor Linux)
Als u het versienummer van de Adobe Flash Player wilt verifiëren, opent u de pagina About Flash Player of klikt u met de rechtermuisknop op Flash-inhoud en selecteert u About Adobe (of Macromedia) Flash Player in het menu. Als u meerdere browsers gebruikt, verricht u deze controle voor elke browser die u op uw systeem hebt geïnstalleerd.
Adobe raadt alle gebruikers van Adobe Flash Player 10.0.12.36 en eerdere versies aan een upgrade uit te voeren naar de nieuwste versie 10.0.22.87, door deze te downloaden vanaf het Player Download Center* of door het mechanisme voor automatische updates in het product te gebruiken wanneer hierover een melding verschijnt.
Voor gebruikers die geen update naar Flash Player 10 kunnen uitvoeren, heeft Adobe een patchversie van Flash Player 9, Flash Player 9.0.159.0, ontwikkeld. Deze kan via de volgende koppeling* worden gedownload.
Adobe categoriseert dit als een kritieke* update en raadt betrokken gebruikers aan een upgrade uit te voeren naar versie 10.0.22.87.
Deze update verhelpt een probleem met de bufferoverloop dat mogelijk door een aanvaller kan worden gebruikt om een arbitraire code uit te voeren. (CVE-2009-0520)
Deze update verhelpt een invoervalideringsprobleem dat tot een "denial of service" (DoS) leidt. De uitvoering van arbitraire code is niet bewezen, maar is wel mogelijk. (CVE-2009-0519)
Een update van de Flash Player Settings Manager wordt op Adobe.com aangeboden om een mogelijke variant van het clickjackingprobleem voor Flash Player te voorkomen. Settings Manager is een speciaal configuratievenster dat op de lokale computer wordt uitgevoerd, maar dat wordt weergegeven in en geopend vanaf de website van Adobe. (CVE-2009-0114)
Deze update verhelpt een Windows-gebonden probleem met de cursorweergave dat mogelijk tot een clickjackingaanval kan bijdragen. (CVE-2009-0522)
Deze update voorkomt een probleem met de mogelijke openbaarmaking van informatie (alleen voor Linux) in Flash Player dat tot escalatie met bevoegdheden zou kunnen leiden. (CVE-2009-0521)
Betrokken software: |
Aanbevolen Player-update |
Beschikbaarheid |
Flash Player 10.0.12.36 en lager |
10.0.22.87 |
|
Flash Player 10.0.12.36 en lager - netwerkdistributie |
10.0.22.87 |
|
Flash Player 10.0.15.3 en lager voor Linux |
10.0.22.87 |
|
AIR 1.5 |
AIR 1.5.1 |
|
Flash CS4 Professional |
10.0.22.87 |
|
Flash CS3 Professional |
9.0.159.0 |
|
Flex 3 |
10.0.22.87 |
Adobe dankt de volgende personen en organisaties voor het melden van de relevante problemen en voor hun samenwerking met Adobe om de veiligheid van onze klanten te helpen beschermen:
iDefense VCP-contribuant Javier Vicente Vallejo* (CVE-2009-0520)
