Releasedatum: 30 juli 2009
Recentste update: 3 augustus 2009
ID kwetsbaarheidsprobleem: APSB10-09
CVE-nummer: CVE-2009-1862, CVE-2009-0901, CVE-2009-2495, CVE-2009-2493, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865, CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869, CVE-2009-1870
Platform: alle platforms
Er zijn kritieke kwetsbaarheden geïdentificieerd in de huidige versies van Adobe Flash Player (9.0.159.0 en 10.0.22.87) voor Windows-, Macintosh-, Linux- en Solaris-besturingssystemen, en de authplay.dll-component die bij Adobe Reader en Acrobat 9.x wordt meegeleverd voor Windows-, Macintosh- en UNIX-besturingssystemen. Deze kwetsbaarheden kunnen ertoe leiden dat de toepassing vastloopt en dat een aanvaller de controle kan verkrijgen over het desbetreffende systeem.
Adobe raadt gebruikers van Adobe Flash Player 9.x en 10.x en eerdere versies aan een update naar Adobe Flash Player 9.0.246.0 en 10.0.32.18 uit te voeren. Adobe raadt gebruikers van Adobe AIR versie 1.5.1 en eerdere versies aan om een update naar Adobe AIR 1.5.2 uit te voeren. Adobe raadt gebruikers van Adobe Reader 9 en Acrobat 9 en eerdere versies aan een update naar Adobe Reader 9.1.3 en Acrobat 9.1.3 uit te voeren.
Opmerking: deze tussentijdse Adobe Reader- en Acrobat-update zorgt ervoor dat Adobe de beveiligingsupdate voor Adobe Reader en Acrobat van het volgende kwartaal plant op dinsdag 13 oktober.
Adobe Flash Player 9.0.159.0 en 10.0.22.87 en eerdere 9.x- en 10.x-versies
Als u het versienummer van Adobe Flash Player wilt verifiëren, opent u de pagina About Flash Player of klikt u met de rechtermuisknop op Flash-inhoud en selecteert u About Adobe (of Macromedia) Flash Player in het menu. Als u meerdere browsers gebruikt, verricht u deze controle voor elke browser die u op uw systeem hebt geïnstalleerd.
Adobe AIR 1.5.1 en eerdere versies
Adobe Reader en Acrobat 9.1.2 en eerdere 9.x-versies
Adobe Flash Player
Adobe raadt alle gebruikers van Adobe Flash Player 10.0.22.87 en eerdere versies aan een upgrade uit te voeren naar de nieuwste versie 10.0.32.18, door deze te downloaden vanaf het Player Download Center of door het mechanisme voor automatische updates in het product te gebruiken wanneer hierover een melding verschijnt.
Voor gebruikers die geen update naar Adobe Flash Player 10 kunnen uitvoeren, heeft Adobe een patchversie van Adobe Flash Player 9, Adobe Flash Player 9.0.246.0 ontwikkeld die hier kan worden gedownload: http://www.adobe.com/support/flashplayer/downloads.html#fp9.
Adobe AIR
Adobe raadt alle gebruikers van Adobe AIR versie 1.5.1 en eerder aan om een update naar de recentste versie 1.5.2 uit te voeren door deze van Adobe AIR Download Center te downloaden.
Adobe Reader
Gebruikers die het volledige installeerprogramma 9.1 van http://get.adobe downloaden. De eerste keer dat u de Adobe-updater-technologie start, zal com/reader/ de Adobe Reader 9.1.3-patch worden aangeboden. Gebruikers kunnen ook Help > Nu controleren op updates kiezen om er zeker van te zijn dat de patch volledig is toegepast en hun installatie is bijgewerkt. Gebruikers kunnen de 9.1.3-update ook manueel via de pagina Productupdates van onze website uitvoeren.
Gebruikers van Adobe Reader voor Windows kunnen hier de geschikte update vinden: http://www.adobe. com/support/downloads/product. jsp?product=10&platform=Windows.
Gebruikers van Adobe Reader voor Macintosh kunnen hier de geschikte update vinden: http://www.adobe. com/support/downloads/product. jsp?product=10&platform=Macintosh.
Gebruikers van Adobe Reader voor UNIX kunnen hier de geschikte update vinden: http://www.adobe. com/support/downloads/product. jsp?product=10&platform=Unix.
Acrobat
Gebruikers van Acrobat Standard en Pro voor Windows kunnen hier de geschikte update vinden:
http://www.adobe. com/support/downloads/product. jsp?product=1&platform=Windows.
Gebruikers van Acrobat Pro Extended voor Windows kunnen hier de geschikte update vinden: http://www.adobe. com/support/downloads/product. jsp?product=158&platform=Windows.
Gebruikers van Acrobat Pro voor Macintosh kunnen hier de geschikte update vinden:
http://www.adobe. com/support/downloads/product. jsp?product=1&platform=Macintosh.
Adobe categoriseert deze als kritieke problemen en raadt betrokken gebruikers aan een patch toe te passen op hun installatie.
Er bestaan kritieke kwetsbaarheden in de huidige versies van Adobe Flash Player (9.0.159.0 en 10.0.22.87) voor Windows-, Macintosh-, Linux- en Solaris-besturingssystemen, en de authplay.dll-component die bij Adobe Reader en Acrobat 9.x wordt meegeleverd voor Windows-, Macintosh- en UNIX-besturingssystemen. Deze kwetsbaarheden kunnen ertoe leiden dat de toepassing vastloopt en dat een aanvaller de controle kan verkrijgen over het desbetreffende systeem.
Adobe raadt gebruikers van Adobe Flash Player 9.x en 10.x en eerdere versies aan een update naar Adobe Flash Player 9.0.246.0 en 10.0.32.18 uit te voeren. Adobe raadt gebruikers van Adobe AIR versie 1.5.1 en eerdere versies aan om een update naar Adobe AIR 1.5.2 uit te voeren. Adobe raadt gebruikers van Adobe Reader 9 en Acrobat 9 en eerdere versies aan om een update naar Adobe Reader 9.1.3 en Acrobat 9.1.3 uit te voeren.
De update voor Adobe Flash Player en Adobe AIR, Adobe Reader en Acrobat verhelpt een kwetsbaarheid op het gebied van geheugenbeschadiging die kan leiden tot code-uitvoering (CVE-2009-1862).
De update voor Adobe Flash Player verhelpt de kwetsbare versie van Microsoft Active Template Library (ATL) die beschreven is in Microsoft-beveiligingsadvies (973882). Hierdoor kan een aanvaller die erin slaagt deze kwetsbaarheid te misbruiken, controle verkrijgen over het desbetreffende systeem (CVE-2009-0901, CVE-2009-2495, CVE-2009-2493).
De update voor Adobe Flash Player verhelpt een escalatiekwetsbaarheid met bevoegdheden waarmee een gebruiker zonder beheerrechten beheerprivileges op het Macintosh-besturingssysteem zou kunnen krijgen (CVE-2009-1863).
De update voor Adobe Flash Player en Adobe AIR verhelpt de heap-overloopkwetsbaarheid die tot code-uitvoering kan leiden (CVE-2009-1864).
De update voor Adobe Flash Player en Adobe AIR verhelpt de Null-pointerkwetsbaarheid die tot code-uitvoering kan leiden (CVE-2009-1865).
De update voor Adobe Flash Player en Adobe AIR verhelpt de kwetsbaarheid met betrekking tot een stackoverloop die tot code-uitvoering kan leiden (CVE-2009-1866).
De update voor Adobe Flash Player en Adobe AIR verhelpt een clickjackingkwetsbaarheid waarbij een aanvaller een nietsvermoedende webbrowsergebruiker naar een koppeling of dialoogvenster probeert te lokken (CVE-2009-1867).
De update voor Adobe Flash Player en Adobe AIR verhelpt de heap-overloopkwetsbaarheid met URL-parsering die tot code-uitvoering kan leiden (CVE-2009-1868).
De update voor Adobe Flash Player en Adobe AIR verhelpt de kwetsbaarheid met betrekking tot een integeroverloop die tot code-uitvoering kan leiden (CVE-2009-1869).
De update voor Adobe Flash Player en Adobe AIR verhelpt een lokale Sandboxkwetsbaarheid die kan leiden tot de openbaarmaking van informatie wanneer SWF-bestanden op de harde schijf worden bewaard (CVE-2009-1870).
Adobe dankt de volgende personen en organisaties voor het melden van de relevante problemen en voor hun samenwerking met Adobe om de veiligheid van onze klanten te helpen beschermen:
3 augustus 2009 - Bulletin bijgewerkt: update Adobe Flash Player 9 en 10 voor Solaris is beschikbaar
31 juli 2009 - Bulletin bijgewerkt met Adobe Reader- en Acrobat-updates en juiste Adobe Flash Player 9-downloadkoppeling
30 juli 2009 - Bulletin gemaakt
