[Warning] Mehrere kritische Sicherheitslücken in Adobe Shockwave Player

Robert Waldner waldner at cert.at
Tue Dec 18 18:38:32 CET 2012


18. Dezember 2012

Beschreibung

   Das US-CERT meldet mehrere Schwachstellen in Adobe Shockwave Player:
     * Shockwave Player anfällig für Downgrade-Attacken Wenn eine
       Webseite nicht angibt, die aktuelle Shockwave-Version 11 zu
       benötigen, dann wird die alte Version 10 installiert. Diese
       enthält mehrere bekannte Schwachstellen, für die auch teilweise
       Exploits verfügbar und verbreitet sind.
     * Shockwave Player installiert alte Version von Flash Player
       Shockwave Player benutzt nicht die systemweit installierte
       Version des Flash Players, sondern bringt eine "eingebaute" mit
       - diese ist allerdings veraltet und es existieren eine Reihe von
       bekannten Verwundbarkeiten für diese (Meldungen von CERT.at zu
       Adobe Flash Player:
       http://www.google.com/search?q=site%3Awww.cert.at+Flash+Player ).
     * Shockwave Player installiert "Xtras" ohne Rückfrage Wenn
       Shockwave-Content Funktionen aus sogenannten "Xtras" benutzt, die
       noch nicht am System vorhanden sind, so werden diese automatisch
       nachinstalliert, wenn sie signiert sind. Der Ort, von dem diese
       "Xtras" heruntergeladen werden, ist allerdings im Shockwave
       Inhalt definiert - ein Angreifer kann so unter Umständen dafür
       sorgen, dass alte Versionen dieser "Xtras" installiert werden
       und dann deren Verwundbarkeiten ausnutzen.

Auswirkungen

   Für alte Versionen von Adobe Flash Player sind eine ganze Reihe an
   bekannten Verwundbarkeiten und darauf aufbauenden Exploits für unter
   anderem Remote Code Execution bekannt. Wir erwarten, dass bald
   entsprechend präparierte Webseiten auftauchen und URLs darauf etwa
   per Spam-Mail verteilt werden.

Betroffene Systeme

   Systeme, auf denen Adobe Shockwave Player (Version 11.6.8.368 oder
   früher) installiert oder installierbar ist, auf Microsoft Windows und
   Apple Betriebssystemen.

Abhilfe

   Bis zum Erscheinen entsprechend gefixter Versionen von Adobe
   Shockwave Player können die folgenden Massnahmen helfen, die
   Auswirkungen dieser Schwachstellen zu begrenzen:
     * Limitieren von Shockwave Inhalten
     * Deaktivieren des Shockwave Player ActiveX Controls (für Nutzer
       von Microsoft Internet Explorer) durch das Setzen des sog. "Kill
       Bits" für folgende CLSIDs in der Windows Registry:
       {166B1BCA-3F9C-11CF-8075-444553540000} und
       {233C1507-6A77-46A4-9443-F871F945D258}. Nähere Informationen dazu
       gibt es direkt von Microsoft:
       http://support.microsoft.com/kb/240797
     * Weiters können die allgemeinen Hinweise zu Mitigation-
       Technologien wie DEP und ASLR hilfreich sein:
       http://blogs.technet.com/b/srd/archive/2010/12/08/on-the-effecti
       veness-of-dep-and-aslr.aspx
     * Auch die allgemeinen Hinweise des US-CERT zur Absicherung von
       Web-Browsern verdienen in diesem Kontext spezielle Beachtung:
       http://www.us-cert.gov/reading_room/securing_browser/

   Detailliertere Beschreibungen finden sich in den Meldungen des
   US-CERT (englisch, Links s.u.).

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Meldung des US-CERT zum Downgrade-Problem (englisch)
   http://www.kb.cert.org/vuls/id/546769
   Meldung des US-CERT zum Problem mit veralteter Flash Player-Version
   (englisch)
   http://www.kb.cert.org/vuls/id/323161
   Meldung des US-CERT zum Problem mit veralteten "Xtras" (englisch)
   http://www.kb.cert.org/vuls/id/519137


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20121218/f25b4715/attachment.sig>


More information about the Warning mailing list