UPDATE: DFN-CERT-2016-1121 Adobe Flash Player: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme [Linux][RedHat][SuSE][Apple][Windows]

DFN-CERT portal at dfn-cert.de
Thu Jul 14 09:20:02 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 2 (14.07.2016):
    openSUSE stellt für die Distribution openSUSE 13.2 und Red Hat für die Red
    Hat Enterprise Linux 5 Supplementary sowie 6 Supplementary Produkte
    Sicherheitsupdates auf die Flash Player Version 11.2.202.632 zur
    Verfügung.
  Version 1 (13.07.2016):
    Neues Advisory

Betroffene Software:

  Adobe Flash Player <= 18.0.0.360 Extended Support Release
  Adobe Flash Player <= 22.0.0.192
  Adobe Flash Player for Linux <= 11.2.202.626
  

Betroffene Plattformen:

  Apple Mac OS X
  GNU/Linux
  Chrome OS
  Microsoft Windows 
  Microsoft Windows 8.1 x64
  Microsoft Windows 8.1 x86
  Microsoft Windows 10 x64
  Microsoft Windows 10 x86
  Microsoft Windows 10 x64 v1511
  Microsoft Windows 10 x86 v1511
  Microsoft Windows RT 8.1
  Microsoft Windows Server 2012
  Microsoft Windows Server 2012 R2
  openSUSE 13.2
  Red Hat Enterprise Linux Desktop Supplementary 5 Client
  Red Hat Enterprise Linux Desktop Supplementary 6
  Red Hat Enterprise Linux Server Supplementary 5
  Red Hat Enterprise Linux Server Supplementary 6
  Red Hat Enterprise Linux Workstation Supplementary 6
  


Mehrere Schwachstellen in Adobe Flash Player bis einschließlich Version
22.0.0.192 ermöglichen einem entfernten, nicht authentifizierten Angreifer
die Ausführung beliebigen Programmcodes, das Umgehen von
Sicherheitsvorkehrungen, das Ausspähen von Informationen sowie die
Durchführung eines Denial-of-Service-Angriffs (DoS). Die kritischen
aktuellen Schwachstellen ermöglichen dem Angreifer die komplette
Systemübernahme. Betroffen sind ebenfalls das Extended Support Release in
Version 18.0.0.360 und früher, Adobe Flash Player für Google Chrome
22.0.0.192 und früher, Adobe Flash Player für Microsoft Edge und Internet
Explorer 11 22.0.0.192 und früher sowie Adobe Flash Player für Linux
11.2.202.626 und früher.

Adobe stellt aktualisierte Programmversionen des Flash Players zur
Verfügung, um die Schwachstellen zu beheben und empfiehlt ein zeitnahes
Update. Nutzer von Adobe Flash Player Desktop für Windows und Macintosh
werden gebeten, den Flash Player über den Update-Mechanismus innerhalb des
Produktes oder über das Adobe Flash Player Download Center auf Version
22.0.0.209 zu aktualisieren. Benutzer des Linux Flash Players und des
Extended Support Release (ESR) finden die Sicherheitsupdates auf Version
11.2.202.632 (Linux) und 18.0.0.366 (ESR) auf den Webseiten des Herstellers.
Benutzern von Google Chrome sowie Microsoft Internet Explorer 11 und Edge
werden die Sicherheitsupdates auf Version 22.0.0.209 automatisch zur
Verfügung gestellt.


Patch:

  Adobe Security Bulletin APSB16-25

  <http://helpx.adobe.com/content/help/en/security/products/flash-player/apsb16-25.html>

Patch:

  Microsoft Security Bulletin MS16-093 (Adobe Flash Player)

  <https://technet.microsoft.com/en-us/library/security/MS16-093>

Patch:

  Red Hat Security Advisory RHSA-2016:1423

  <http://rhn.redhat.com/errata/RHSA-2016-1423.html>

Patch:

  openSUSE Security Update openSUSE-SU-2016:1795-1

  <http://lists.opensuse.org/opensuse-updates/2016-07/msg00045.html>


CVE-2016-4249: Schwachstelle in Adobe Flash Player ermöglicht Ausführung
  beliebigen Programmcodes

  Eine Schwachstelle in Adobe Flash Player ermöglicht einem entfernten, nicht
  authentifizierten Angreifer die Ausführung beliebigen Programmcodes durch
  einen Pufferüberlauf (Heap Buffer Overflow).


CVE-2016-4247: Schwachstelle in Adobe Flash Player ermöglicht Ausspähen von
  Informationen

  Durch eine Wettlaufsituation (Race Condition) in Adobe Flash Player ist es
  einem entfernten, nicht authentifizierten Angreifer möglich, Informationen
  auszuspähen.


CVE-2016-4242 CVE-2016-4243 CVE-2016-4244 CVE-2016-4245 CVE-2016-4246:
  Schwachstellen in Adobe Flash Player ermöglichen Ausführung beliebigen
  Programmcodes

  Durch mehrere Schwachstellen im Adobe Flash Player kann der Systemspeicher
  korrumpiert werden. Ein entfernter, nicht authentifizierter Angreifer kann
  dadurch beliebigen Programmcode ausführen. 


CVE-2016-4235 CVE-2016-4236 CVE-2016-4237 CVE-2016-4238 CVE-2016-4239
  CVE-2016-4240 CVE-2016-4241: Schwachstellen in Adobe Flash Player
  ermöglichen Ausführung beliebigen Programmcodes

  Durch mehrere Schwachstellen im Adobe Flash Player kann der Systemspeicher
  korrumpiert werden. Ein entfernter, nicht authentifizierter Angreifer kann
  dadurch beliebigen Programmcode ausführen. 


CVE-2016-4232: Schwachstelle in Adobe Flash Player ermöglicht
  Denial-of-Service-Angriff

  Durch eine Schwachstelle in Adobe Flash Player kann es während der
  Verarbeitung von Daten zu einem Speicherleck (Memory Leak) kommen. Ein
  entfernter, nicht authentifizierter Angreifer kann einen
  Denial-of-Service-Angriff (DoS) durchführen.


CVE-2016-4230 CVE-2016-4231 CVE-2016-4248: Schwachstellen in Adobe Flash
  Player ermöglichen Ausführung beliebigen Programmcodes

  Mehrere Schwachstellen in Adobe Flash Player führen dazu, dass
  Speicherbereiche nach deren Freigabe weiter benutzt werden können
  (Use-after-free). Ein entfernter, nicht authentifizierter Angreifer kann
  diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuführen.


CVE-2016-4223 CVE-2016-4224 CVE-2016-4225: Schwachstellen in Adobe Flash
  Player ermöglichen Ausführung beliebigen Programmcodes 

  Die Verwendung falscher Variablentypen (Type Confusion) in Adobe Flash
  Player kann einem entfernten, nicht authentifizierten Angreifer in mehreren
  Fällen die Ausführung beliebigen Programmcodes ermöglichen. 


CVE-2016-4217 CVE-2016-4218 CVE-2016-4219 CVE-2016-4220 CVE-2016-4221
  CVE-2016-4233 CVE-2016-4234: Schwachstellen in Adobe Flash Player
  ermöglichen Ausführung beliebigen Programmcodes

  Durch mehrere Schwachstellen im Adobe Flash Player kann der Systemspeicher
  korrumpiert werden. Ein entfernter, nicht authentifizierter Angreifer kann
  dadurch beliebigen Programmcode ausführen. 


CVE-2016-4184 CVE-2016-4185 CVE-2016-4186 CVE-2016-4187 CVE-2016-4188
  CVE-2016-4189 CVE-2016-4190: Schwachstellen in Adobe Flash Player
  ermöglichen Ausführung beliebigen Programmcodes

  Durch mehrere Schwachstellen im Adobe Flash Player kann der Systemspeicher
  korrumpiert werden. Ein entfernter, nicht authentifizierter Angreifer kann
  dadurch beliebigen Programmcode ausführen. 


CVE-2016-4178: Schwachstelle in Adobe Flash Player ermöglicht u.a. das
  Umgehen von Sicherheitsvorkehrungen

  Eine Schwachstelle in Adobe Flash Player ermöglicht es einem entfernten,
  nicht authentifizierten Angreifer, Sicherheitsvorkehrungen zu umgehen und in
  der Folge Informationen auszuspähen.


CVE-2016-4176 CVE-2016-4177: Schwachstellen in Adobe Flash Player
  ermöglichen Ausführung beliebigen Programmcodes

  Zwei Schwachstellen in Adobe Flash Player ermöglichen es einem entfernten,
  nicht authentifizierten Angreifer, durch das Korrumpieren des
  Stack-Pufferspeichers beliebigen Programmcode zur Ausführung zu bringen.


CVE-2016-4173 CVE-2016-4174 CVE-2016-4222 CVE-2016-4226 CVE-2016-4227
  CVE-2016-4228 CVE-2016-4229: Schwachstellen in Adobe Flash Player
  ermöglichen Ausführung beliebigen Programmcodes

  Mehrere Schwachstellen in Adobe Flash Player führen dazu, dass
  Speicherbereiche nach deren Freigabe weiter benutzt werden können
  (Use-after-free). Ein entfernter, nicht authentifizierter Angreifer kann
  diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuführen.


CVE-2016-4172 CVE-2016-4175 CVE-2016-4179 CVE-2016-4180 CVE-2016-4181
  CVE-2016-4182 CVE-2016-4183: Schwachstellen in Adobe Flash Player
  ermöglichen Ausführung beliebigen Programmcodes

  Durch mehrere Schwachstellen im Adobe Flash Player kann der Systemspeicher
  korrumpiert werden. Ein entfernter, nicht authentifizierter Angreifer kann
  dadurch beliebigen Programmcode ausführen. 


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1121/>

Adobe Security Bulletin APSB16-25:
  <http://helpx.adobe.com/content/help/en/security/products/flash-player/apsb16-25.html>

Microsoft Security Bulletin MS16-093 (Adobe Flash Player):
  <https://technet.microsoft.com/en-us/library/security/MS16-093>

Schwachstelle CVE-2016-4172 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4172>

Schwachstelle CVE-2016-4173 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4173>

Schwachstelle CVE-2016-4174 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4174>

Schwachstelle CVE-2016-4175 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4175>

Schwachstelle CVE-2016-4176 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4176>

Schwachstelle CVE-2016-4177 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4177>

Schwachstelle CVE-2016-4178 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4178>

Schwachstelle CVE-2016-4179 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4179>

Schwachstelle CVE-2016-4180 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4180>

Schwachstelle CVE-2016-4181 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4181>

Schwachstelle CVE-2016-4182 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4182>

Schwachstelle CVE-2016-4183 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4183>

Schwachstelle CVE-2016-4184 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4184>

Schwachstelle CVE-2016-4185 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4185>

Schwachstelle CVE-2016-4186 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4186>

Schwachstelle CVE-2016-4187 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4187>

Schwachstelle CVE-2016-4188 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4188>

Schwachstelle CVE-2016-4189 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4189>

Schwachstelle CVE-2016-4190 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4190>

Schwachstelle CVE-2016-4217 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4217>

Schwachstelle CVE-2016-4218 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4218>

Schwachstelle CVE-2016-4219 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4219>

Schwachstelle CVE-2016-4220 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4220>

Schwachstelle CVE-2016-4221 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4221>

Schwachstelle CVE-2016-4222 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4222>

Schwachstelle CVE-2016-4223 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4223>

Schwachstelle CVE-2016-4224 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4224>

Schwachstelle CVE-2016-4225 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4225>

Schwachstelle CVE-2016-4226 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4226>

Schwachstelle CVE-2016-4227 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4227>

Schwachstelle CVE-2016-4228 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4228>

Schwachstelle CVE-2016-4229 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4229>

Schwachstelle CVE-2016-4230 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4230>

Schwachstelle CVE-2016-4231 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4231>

Schwachstelle CVE-2016-4232 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4232>

Schwachstelle CVE-2016-4233 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4233>

Schwachstelle CVE-2016-4234 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4234>

Schwachstelle CVE-2016-4235 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4235>

Schwachstelle CVE-2016-4236 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4236>

Schwachstelle CVE-2016-4237 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4237>

Schwachstelle CVE-2016-4238 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4238>

Schwachstelle CVE-2016-4239 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4239>

Schwachstelle CVE-2016-4240 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4240>

Schwachstelle CVE-2016-4241 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4241>

Schwachstelle CVE-2016-4242 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4242>

Schwachstelle CVE-2016-4243 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4243>

Schwachstelle CVE-2016-4244 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4244>

Schwachstelle CVE-2016-4245 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4245>

Schwachstelle CVE-2016-4246 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4246>

Schwachstelle CVE-2016-4247 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4247>

Schwachstelle CVE-2016-4248 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4248>

Schwachstelle CVE-2016-4249 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4249>

Red Hat Security Advisory RHSA-2016:1423:
  <http://rhn.redhat.com/errata/RHSA-2016-1423.html>

openSUSE Security Update openSUSE-SU-2016:1795-1:
  <http://lists.opensuse.org/opensuse-updates/2016-07/msg00045.html>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160714/1f1df5a4/attachment.bin>


More information about the Security-Announce mailing list