[Warning] Updates für kritische Sicherheitslücken in Adobe Produkten (inkl. Flash, Acrobat, und Reader) - aktiv ausgenützt
Robert Waldner
waldner at cert.at
Wed Jun 15 18:06:41 CEST 2011
15. Juni 2011
Beschreibung
Adobe hat als "kritisch" eingestufte Security Updates für [1]mehrere
kritische Schwachstellen in Adobe Produkten (Adobe Flash Player,
Reader, Acrobat, Shockwave Player) veröffentlicht[1].
Weitere als "wichtig" eingestufte Updates sind für ColdFusion sowie
LiveCycle Data Services, LiveCycle ES, und BlazeDS verfügbar.
CVE Referenz-Nummern:
* Flash
+ CVE-2011-2110
* Reader / Acrobat
+ CVE-2011-2094
+ CVE-2011-2095
+ CVE-2011-2096
+ CVE-2011-2097
+ CVE-2011-2098
+ CVE-2011-2099
+ CVE-2011-2100
+ CVE-2011-2101
+ CVE-2011-2102
+ CVE-2011-2103
+ CVE-2011-2104
+ CVE-2011-2105
+ CVE-2011-2106
* Shockwave Player
+ CVE-2011-0317
+ CVE-2011-0318
+ CVE-2011-0319
+ CVE-2011-0320
+ CVE-2011-0335
+ CVE-2011-2108
+ CVE-2011-2109
+ CVE-2011-2111
+ CVE-2011-2112
+ CVE-2011-2113
+ CVE-2011-2114
+ CVE-2011-2115
+ CVE-2011-2116
+ CVE-2011-2117
+ CVE-2011-2118
+ CVE-2011-2119
+ CVE-2011-2120
+ CVE-2011-2121
+ CVE-2011-2122
+ CVE-2011-2123
+ CVE-2011-2124
+ CVE-2011-2125
+ CVE-2011-2126
+ CVE-2011-2127
Auswirkungen
Die als "kritisch" angegebenen Lücken bieten laut Adobe die
Möglichkeit, die betroffenen Produkte zum Absturz zu bringen.
Potentiell bieten diese Fehler auch die Möglichkeit zu Remote Code
Execution, und daher einem Angreifer einen Weg, ein System zu
übernehmen.
Laut aktuellen Aussagen von Adobe wird zumindest eine der Lücken in
Flash Player (CVE-2011-2110) bereits aktiv durch entsprechend
präparierte Webseiten ausgenützt.
Betroffene Systeme
Systeme, auf denen folgende Software von Adobe installiert ist:
* Adobe Flash Player
+ Adobe Flash Player 10.3.181.23 und älter für Windows,
Macintosh, Linux und Solaris
+ Adobe Flash Player 10.3.185.23 und älter für Android
* Adobe Reader / Reader X / Acrobat / Acrobat X
+ Adobe Reader X 10.0.1 und ältere 10.x Versionen für Windows
+ Adobe Reader X 10.0.3 und ältere 10.x Versionen für
Macintosh
+ Adobe Reader 9.4.4 und ältere 9.x Versionen für Windows und
Macintosh
+ Adobe Reader 8.2.6 und ältere 8.x Versionen für Windows und
Macintosh
+ Adobe Acrobat X 10.0.3 und ältere 10.x Versionen für Windows
und Macintosh
+ Adobe Acrobat 9.4.4 und ältere 9.x Versionen für Windows and
Macintosh
+ Adobe Acrobat 8.2.6 und ältere 8.x Versionen für Windows and
Macintosh
* Shockwave Player
+ Shockwave Player 11.5.9.620 und ältere Versionen für Windows
und Macintosh
Abhilfe
Installation der bereitgestellten Updates, für Flash zum Beispiel
über das Flash Player Download Center.
Wie andere Quellen berichten[2], wird sich Adobe Reader ab der nun
zur Verfügung gestellten Version übrigens automatisch auf die jeweils
neueste Version aktualisieren.
__________________________________________________________________
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
1: Meldung von Adobe (englisch)
http://blogs.adobe.com/psirt/2011/06/adobe-product-security-updates-
available.html
2: Meldung von Brian Krebs zu Adobe Reader Auto-Updates (englisch)
http://krebsonsecurity.com/2011/06/adobe-ships-security-patches-auto
-update-feature/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 262 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20110615/e393e579/attachment.sig>
More information about the Warning
mailing list