Kritische Schwachstellen im Adobe Flash Player sowie den
PDF-Anwendungen Adobe Reader und Acrobat

Risiko: Hoch

Betroffene Systeme:
Adobe Flash Player 10.1.85.3 und vorherige Versionen fuer Windows,
Macintosh, Linux und Solaris Betriebssysteme
Adobe Flash Player 10.1.95.2 und vorherige Versionen fuer Android
Adobe Reader 9.4 und vorherige 9.x Versionen fuer Windows, Macintosh
und UNIX
Adobe Acrobat 9.4 und vorherige 9.x Versionen fuer Windows und
Macintosh

Aktualisierungen dieser Technischen Warnung:
29.10.2010: Initiale Meldung
05.11.2010: Hinweis auf Flash Player Sicherheitsupdate ergaenzt
18.11.2010: Hinweis auf Adobe Reader/Acrobat Sicherheitsupdate ergaenzt

Empfehlung:

Das Buerger-CERT raet dazu, die Sicherheitsupdates fuer Adobe Reader
und Acrobat fuer Windows und Macintosh so bald wie moeglich zu
installieren. Aktuell ist die Version 9.4.1. Am einfachsten geschieht
dies ueber die integrierte Update-Routine im Adobe Reader und Acrobat:

o Menue "Hilfe"
o Menuepunkt "Nach Updates suchen..."

Ausserdem ist es empfehlenswert, den automatischen Update-Mechanismus
zu aktivieren:

o Menue "Bearbeiten"
o Menuepunkt "Voreinstellungen..."
o Kategorie "Updater"
o Vorzugsweise die Option "Updates automatisch installieren" waehlen

Alternativ stehen die Updates fuer den Adobe Reader auf der folgenden
Webseite bereit:

http://get.adobe.com/reader

Die Links zu den Adobe Acrobat Updates entnehmen Sie bitte der unten
genannten Quelle [4].

Die Adobe Reader Sicherheitsupdates fuer Unix-Betriebssysteme
veroeffentlicht Adobe voraussichtlich am 30. November 2010 ueber das
Adobe Reader Download Center.

Des Weiteren raet das Buerger-CERT das von Adobe am 4. November 2010
veroeffentlichte Sicherheitsupdate der Flash Player Version 10.1.102.64
zu installieren [2].

Die Version steht auf der Webseite des Herstellers zum Herunterladen
bereit:

http://get.adobe.com/de/flashplayer/

Beschreibung:

Im Adobe Flash Player sowie im Adobe Reader und Acrobat existieren
mehrere kritische Sicherheitsluecken bei der Verarbeitung von speziell
manipulierten Flash-Inhalten (SWF-Dateien). Ein entfernter Angreifer
kann die Sicherheitsluecke mithilfe von manipulierten Flash-Inhalten auf
Webseiten oder in PDF-Dateien ausnutzen, um Schadsoftware auf dem
Rechner der Opfer auszufuehren.

Die Schwachstelle wird bereits aktiv gegen Adobe Reader und Acrobat
ausgenutzt.

Quellen:

[1] APSA10-05: Security Advisory for Adobe Flash Player, Adobe Reader
and Acrobat
http://www.adobe.com/support/security/advisories/apsa10-05.html

[2] APSB10-26: Security update available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb10-26.html

[3] Sicherheits-Check verschiedener Browser
https://www.bsi-fuer-buerger.de/cln_174/BSIFB/DE/ITSicherheit/DerBrowser/SicherheitsCheck/sicherheitscheck_node.html

[4] APSB10-28: Security update available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb10-28.html

-----------------------------------------------------------------------

Diese Technische Warnung ist ein kostenloses Service-Angebot des
Buerger-CERT, http://www.buerger-cert.de. Die Informationen werden mit
groesster Sorgfalt recherchiert und aufbereitet, dennoch kann eine
Gewaehr oder Haftung fuer die Vollstaendigkeit und Richtigkeit nicht
uebernommen werden.

Unter http://www.buerger-cert.de haben Sie die Moeglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und
Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de