TECHNISCHE WARNUNG TW-T15/0089 UPDATE 2
Titel: Sicherheitswarnung Adobe Flash Player - Sicherheitsupdates für
Adobe Flash Player und Adobe AIR
Datum: 15.10.2015
Risiko: hoch

ZUSAMMENFASSUNG
Adobe schließt mehrere Sicherheitslücken im Adobe Flash Player und Adobe
AIR, die vom Hersteller als kritisch eingestuft werden.

BETROFFENE SYSTEME
- Adobe Integrated Runtime (AIR) bis einschließlich 19.0.0.190
- Adobe Integrated Runtime (AIR) Software Development Kit (SDK) bis
einschließlich 19.0.0.190
- Adobe Integrated Runtime (AIR) Software Development Kit (SDK) mit
Compiler bis einschließlich 19.0.0.190
- Adobe Flash Player bis einschließlich Extended Support Release
18.0.0.252
- Adobe Flash Player bis einschließlich 19.0.0.207
- Adobe Flash Player for Linux bis einschließlich 11.2.202.535
- SUSE Linux Enterprise Workstation Extension 12
- Apple iOS
- Apple Mac OS X
- GNU/Linux
- Chrome OS
- Microsoft Windows
- openSUSE 13.1
- openSUSE 13.2
- SUSE Linux Enterprise Desktop 11 SP3
- SUSE Linux Enterprise Desktop 11 SP4
- SUSE Linux Enterprise Desktop 12

EMPFEHLUNG
Aktualisieren Sie den Adobe Flash Player auf die Version 19.0.0.207 über
das Adobe Flash Player Download Center, sofern Sie nicht die automatische
Update-Funktion innerhalb des Produktes benutzen. Die Extended Support
Release Version des Flash Players aktualisieren Sie bitte auf die Version
18.0.0.252.

Für Nutzer des Flash Players mit Google Chrome auf Windows, Apple Mac OS
X, Linux und Chrome OS erfolgt eine automatische Aktualisierung auf
Version 19.0.0.207.

Microsoft aktualisiert mit dem Update 3099406 den Adobe Flash Player für
den Internet Explorer 10 unter Windows 8, Windows Server 2012 und Windows
RT; den Internet Explorer 11 unter Windows 8.1, Windows Server 2012 R2,
Windows RT 8.1 und Windows 10 sowie Microsoft Edge unter Windows 10 auf
die Version 19.0.0.207. Der Microsoft Knowledge Base-Artikel 3099406
(siehe Referenzen) enthält weitere Informationen zum Update.

Benutzer von Adobe AIR Desktop Runtime, AIR SDK und AIR SDK & Compiler
wird das Update auf die Version 19.0.0.213 empfohlen.

Der Adobe Flash Player sollte bis auf Weiteres deaktiviert oder sogar
komplett deinstalliert werden, um sich gegen Angriffe zu schützen, welche
die neu gefundene, noch offene Sicherheitslücke ausnutzen.

BESCHREIBUNG
Mit dem Flash Player werden multimediale aktive Inhalte wiedergegeben.
Das Programm ist integraler Bestandteil zahlreicher Adobe Produkte.
Adobe Integrated Runtime (AIR) wird zur Darstellung aktiver,
multimedialer Inhalte eingesetzt. AIR ist in vielen Adobe Produkten
enthalten.
Adobe Integrated Runtime (AIR) Software Development Kit (SDK) mit
Compiler stellt Entwicklungswerkzeuge zur Verfügung, um auf
Internettechnologien wie z.B. HTML und Adobe Flash basierende
AIR-Anwendungen zu entwickeln. Es wurde von Adobe Integrated Runtime
(AIR) Software Development Kit (SDK) umbenannt, nachdem ein Compiler
hinzugefügt wurde.

Adobe schließt mit den aktuellen Sicherheitsupdates mehrere
Sicherheitslücken, die es einem nicht angemeldeten Angreifer aus dem
Internet ermöglichen, beliebige Befehle und Programme auszuführen und
damit die Kontrolle über das betroffene System zu übernehmen.

Update 1: Die gerade veröffentlichte Adobe Flash Player Version
19.0.0.207, aber mindestens auch deren Vorgängerversion 19.0.0.185,
enthält gemäß aktueller Publikationen weiterhin eine kritische
Sicherheitslücke, die bereits aktiv im Rahmen verschiedener
Phishing-Kampagnen per E-Mail ausgenutzt wird. Bei aktiviertem Adobe
Flash Player PlugIn in Ihrem Browser reicht der einfache Besuch einer
bösartigen Webseite oder das Laden eines manipulierten Werbebanners von
einer unverdächtig erscheinenden Webseite, um unbemerkt eine
Schadsoftware herunterzuladen, die Ihre vertraulichen Daten, Passwörter
usw. ausspähen kann.

Update 2: Adobe informiert darüber, dass mit dem aktuellen
Sicherheitsupdate weitere acht Sicherheitslücken behoben wurden, weist
aber auch darauf hin, dass die kürzlich bekannt gewordene, kritische
Sicherheitslücke für alle aktuellen Adobe Flash Player Versionen bis
einschließlich 19.0.0.207 weiterhin besteht und in begrenzten, gezielten
Angriffen aktiv ausgenutzt wird. Ein Sicherheitsupdate wird erst für die
Woche beginnend mit dem 19. Oktober 2015 angekündigt. Die Empfehlung, das
Adobe Flash Player PlugIn bis auf Weiteres zu deaktivieren oder komplett
zu deinstallieren, gilt deshalb weiterhin.

QUELLEN
- Adobe Seite zum Herunterladen vom Flash Player

- Microsoft-Sicherheitsempfehlung 2755801

- Adobe Sicherheitshinweise APSB15-25 (Flash Player, AIR, englisch)

- Heise Security Artikel vom 14. Oktober 2015: Nach Patchday: Flash über
neue Sicherheitslücke immer noch angreifbar
http://www.heise.de/security/meldung/Nach-Patchday-Flash-ueber-neue-Sicherheitsluecke-immer-noch-angreifbar-2846807.html
- Microsoft Knowledge Base-Artikel 3099406

- Trend Micro Artikel vom 13. Oktober: New Adobe Flash Zero-Day Used in
Pawn Storm Campaign Targeting Foreign Affairs Ministries (Englisch)

- Adobe Sicherheitshinweise APSA15-05 (Flash Player, englisch)


UPDATE
15.10.2015
Adobe informiert darüber, dass mit dem aktuellen Sicherheitsupdate
weitere acht Sicherheitslücken behoben wurden, weist aber auch darauf
hin, dass die kürzlich bekannt gewordene, kritische Sicherheitslücke für
alle aktuellen Adobe Flash Player Versionen bis einschließlich 19.0.0.207
weiterhin besteht und in begrenzten, gezielten Angriffen aktiv ausgenutzt
wird. Ein Sicherheitsupdate wird erst für die Woche beginnend mit dem 19.
Oktober 2015 angekündigt. Die Empfehlung, das Adobe Flash Player PlugIn
bis auf Weiteres zu deaktivieren oder komplett zu deinstallieren, gilt
deshalb weiterhin.




-----------------------------------------------------------------------
Diese Technische Warnung ist ein kostenloses Service-Angebot des
Bürger-CERT, http://www.buerger-cert.de. Die Informationen werden mit
größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine
Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht
übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und
Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de

TECHNISCHE WARNUNG TW-T15/0089 UPDATE 3
Titel: Sicherheitsupdates für Adobe Flash Player und Adobe AIR
Datum: 19.10.2015
Risiko: hoch

ZUSAMMENFASSUNG
Adobe schließt mehrere Sicherheitslücken im Adobe Flash Player und Adobe
AIR, die vom Hersteller als kritisch eingestuft werden.

BETROFFENE SYSTEME
- Adobe Integrated Runtime (AIR) bis einschließlich 19.0.0.190
- Adobe Integrated Runtime (AIR) Software Development Kit (SDK) bis
einschließlich 19.0.0.190
- Adobe Integrated Runtime (AIR) Software Development Kit (SDK) mit
Compiler bis einschließlich 19.0.0.190
- Adobe Flash Player bis einschließlich Extended Support Release
18.0.0.252
- Adobe Flash Player bis einschließlich 19.0.0.207
- Adobe Flash Player for Linux bis einschließlich 11.2.202.535
- SUSE Linux Enterprise Workstation Extension 12
- Apple iOS
- Apple Mac OS X
- GNU/Linux
- Chrome OS
- Microsoft Windows
- openSUSE 13.1
- openSUSE 13.2
- SUSE Linux Enterprise Desktop 11 SP3
- SUSE Linux Enterprise Desktop 11 SP4
- SUSE Linux Enterprise Desktop 12
- Red Hat Enterprise Linux Desktop Supplementary 6
- Red hat Enterprise Linux Server Supplementary 6
- Red hat Enterprise Linux Server Supplementary 6.7.z EUS
- Red Hat Enterprise Linux Workstation Supplementary 6

EMPFEHLUNG
Aktualisieren Sie den Adobe Flash Player auf die Version 19.0.0.207 über
das Adobe Flash Player Download Center, sofern Sie nicht die automatische
Update-Funktion innerhalb des Produktes benutzen. Die Extended Support
Release Version des Flash Players aktualisieren Sie bitte auf die Version
18.0.0.252.

Für Nutzer des Flash Players mit Google Chrome auf Windows, Apple Mac OS
X, Linux und Chrome OS erfolgt eine automatische Aktualisierung auf
Version 19.0.0.207.

Microsoft aktualisiert mit dem Update 3099406 den Adobe Flash Player für
den Internet Explorer 10 unter Windows 8, Windows Server 2012 und Windows
RT; den Internet Explorer 11 unter Windows 8.1, Windows Server 2012 R2,
Windows RT 8.1 und Windows 10 sowie Microsoft Edge unter Windows 10 auf
die Version 19.0.0.207. Der Microsoft Knowledge Base-Artikel 3099406
(siehe Referenzen) enthält weitere Informationen zum Update.

Benutzer von Adobe AIR Desktop Runtime, AIR SDK und AIR SDK & Compiler
wird das Update auf die Version 19.0.0.213 empfohlen.

Aktualisieren Sie den Flash Player zügig auf die Version 19.0.0.226, bzw.
18.0.0.255, wenn Sie das Extended Support Release nutzen, oder auf
Version 19.0.0.225, wenn Sie mit Chrome OS arbeiten.

BESCHREIBUNG
Mit dem Flash Player werden multimediale aktive Inhalte wiedergegeben.
Das Programm ist integraler Bestandteil zahlreicher Adobe Produkte.
Adobe Integrated Runtime (AIR) wird zur Darstellung aktiver,
multimedialer Inhalte eingesetzt. AIR ist in vielen Adobe Produkten
enthalten.
Adobe Integrated Runtime (AIR) Software Development Kit (SDK) mit
Compiler stellt Entwicklungswerkzeuge zur Verfügung, um auf
Internettechnologien wie z.B. HTML und Adobe Flash basierende
AIR-Anwendungen zu entwickeln. Es wurde von Adobe Integrated Runtime
(AIR) Software Development Kit (SDK) umbenannt, nachdem ein Compiler
hinzugefügt wurde.

Adobe schließt mit den aktuellen Sicherheitsupdates mehrere
Sicherheitslücken, die es einem nicht angemeldeten Angreifer aus dem
Internet ermöglichen, beliebige Befehle und Programme auszuführen und
damit die Kontrolle über das betroffene System zu übernehmen.

Update 1: Die gerade veröffentlichte Adobe Flash Player Version
19.0.0.207, aber mindestens auch deren Vorgängerversion 19.0.0.185,
enthält gemäß aktueller Publikationen weiterhin eine kritische
Sicherheitslücke, die bereits aktiv im Rahmen verschiedener
Phishing-Kampagnen per E-Mail ausgenutzt wird. Bei aktiviertem Adobe
Flash Player PlugIn in Ihrem Browser reicht der einfache Besuch einer
bösartigen Webseite oder das Laden eines manipulierten Werbebanners von
einer unverdächtig erscheinenden Webseite, um unbemerkt eine
Schadsoftware herunterzuladen, die Ihre vertraulichen Daten, Passwörter
usw. ausspähen kann.

Update 2: Adobe informiert darüber, dass mit dem aktuellen
Sicherheitsupdate weitere acht Sicherheitslücken behoben wurden, weist
aber auch darauf hin, dass die kürzlich bekannt gewordene, kritische
Sicherheitslücke für alle aktuellen Adobe Flash Player Versionen bis
einschließlich 19.0.0.207 weiterhin besteht und in begrenzten, gezielten
Angriffen aktiv ausgenutzt wird. Ein Sicherheitsupdate wird erst für die
Woche beginnend mit dem 19. Oktober 2015 angekündigt. Die Empfehlung, das
Adobe Flash Player PlugIn bis auf Weiteres zu deaktivieren oder komplett
zu deinstallieren, gilt deshalb weiterhin.

Update 3, 19.10.2015: Adobe hat ein neues Sicherheitsupdate für den Flash
Player herausgebracht, über welches u.a. die oben genannte und bereits
für Angriffe ausgenutzte Schwachstelle behoben wird. Die
Sicherheitswarnung für den Flash Player wird deshalb aufgehoben.
Aktualisieren Sie den Flash Player auf die Version 19.0.0.226, bzw.
18.0.0.255, wenn Sie das Extended Support Release nutzen, oder auf
Version 19.0.0.225, wenn Sie mit Chrome OS arbeiten. Beachten Sie dazu
bitte auch die heute neu veröffentlichte Information zum Flash Player.

QUELLEN
- Adobe Seite zum Herunterladen vom Flash Player
<http://get.adobe.com/de/flashplayer/>
- Microsoft-Sicherheitsempfehlung 2755801
<https://technet.microsoft.com/de-de/library/security/2755801.aspx>
- Adobe Sicherheitshinweise APSB15-25 (Flash Player, AIR, englisch)
<http://helpx.adobe.com/content/help/de/security/products/flash-player/apsb15-25.html>
- Heise Security Artikel vom 14. Oktober 2015: Nach Patchday: Flash über
neue Sicherheitslücke immer noch angreifbar
<http://www.heise.de/security/meldung/Nach-Patchday-Flash-ueber-neue-Sicherheitsluecke-immer-noch-angreifbar-2846807.html>
- Microsoft Knowledge Base-Artikel 3099406
<https://support.microsoft.com/de-de/kb/3099406>
- Trend Micro Artikel vom 13. Oktober: New Adobe Flash Zero-Day Used in
Pawn Storm Campaign Targeting Foreign Affairs Ministries (Englisch)
<http://blog.trendmicro.com/trendlabs-security-intelligence/new-adobe-flash-zero-day-used-in-pawn-storm-campaign/>
- Adobe Sicherheitshinweise APSA15-05 (Flash Player, englisch)
<http://helpx.adobe.com/content/help/de/security/products/flash-player/apsa15-05.html>
- Adobe Sicherheitshinweise APSB15-27 (Flash Player, englisch)
<http://helpx.adobe.com/content/help/en/security/products/flash-player/apsb15-27.html>

UPDATE
19.10.2015
Adobe hat ein neues Sicherheitsupdate für den Flash Player
herausgebracht, über welches u.a. die oben genannte und bereits für
Angriffe ausgenutzte Schwachstelle behoben wird. Die Sicherheitswarnung
für den Flash Player wird deshalb aufgehoben. Aktualisieren Sie den Flash
Player auf die Version 19.0.0.226, bzw. 18.0.0.255, wenn Sie das Extended
Support Release nutzen, oder auf Version 19.0.0.225, wenn Sie mit Chrome
OS arbeiten. Beachten Sie dazu bitte auch die heute neu veröffentlichte
Information zum Flash Player.
15.10.2015
Adobe informiert darüber, dass mit dem aktuellen Sicherheitsupdate
weitere acht Sicherheitslücken behoben wurden, weist aber auch darauf
hin, dass die kürzlich bekannt gewordene, kritische Sicherheitslücke für
alle aktuellen Adobe Flash Player Versionen bis einschließlich 19.0.0.207
weiterhin besteht und in begrenzten, gezielten Angriffen aktiv ausgenutzt
wird. Ein Sicherheitsupdate wird erst für die Woche beginnend mit dem 19.
Oktober 2015 angekündigt. Die Empfehlung, das Adobe Flash Player PlugIn
bis auf Weiteres zu deaktivieren oder komplett zu deinstallieren, gilt
deshalb weiterhin.




-----------------------------------------------------------------------
Diese Technische Warnung ist ein kostenloses Service-Angebot des
Bürger-CERT, http://www.buerger-cert.de. Die Informationen werden mit
größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine
Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht
übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und
Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de