[Warning] Update für kritische Sicherheitslücke in Adobe Flash (aktiv ausgenützt)

Robert Waldner waldner at cert.at
Mon Jun 6 12:14:20 CEST 2011 

6. Juni 2011

Beschreibung

   Wie Adobe berichtet[1], gibt es ein Update für Adobe Flash Player,
   welches eine kritische Sicherheitslücke behebt.

   CVE Referenz-Nummern[2]:
     * CVE-2011-2107

Auswirkungen

   Diese "universelle" Cross-Site-Scripting Lücke bietet laut Adobe die
   Möglichkeit, die Kontrolle über personalisierte Webseiten des
   Anwenders (etwa Webmail-Zugänge) zu übernehmen.

   Laut Aussage von Adobe wird diese Lücke bereits aktiv ausgenützt.
   Hierbei werden - momentan angeblich nur in gezielten, sog.
   "Spear-Phishing"-Attacken - Links auf entsprechend präparierte
   Webseiten mittels Spam-Mails verbreitet. Es ist zu erwarten, dass
   diese Attacken bald grossflächig stattfinden werden.

Betroffene Systeme

   Systeme, auf denen folgende Software von Adobe installiert ist:
     * Adobe Flash Player 10.3.181.16 und älter für Windows, Macintosh,
       Linux und Solaris
     * Adobe Flash Player 10.3.185.22 für Android

Abhilfe

   Installation des bereitgestellten Updates für Windows, Macintosh,
   Linux und Solaris, zB über das Adobe Flash Player Download Center[3].
   Ein Update für die Android-Version ist für später diese Woche
   angekündigt.

   Weiters weisen wir darauf hin, dass das Flash-Player-ActiveX-Plugin
   für Microsoft Internet Explorer eventuell getrennt aktualisiert
   werden muss, Details bitte dem Warning von Adobe zu entnehmen.
     __________________________________________________________________

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________


Informationsquellen:

   1. http://www.adobe.com/support/security/bulletins/apsb11-13.html
   2. http://cve.mitre.org/about/index.html
   3. http://get.adobe.com/flashplayer/
   4.
http://www.heise.de/security/meldung/Adobe-patcht-Zero-Day-Luecke-in-Flash-1255438.html

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 262 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20110606/58e2d006/attachment.sig>

More information about the Warning mailing list