[Warning] Sicherheitslücken in Flash Player und Adobe AIR (aktiv ausgenützt, Updates verfügbar)
Stephan Richter
richter at cert.at
Mon Feb 24 12:50:12 CET 2014
24. Februar 2014
Beschreibung
Adobe hat neue Versionen des Flash Player Plugins sowie von Adobe AIR
ausserhalb des monatlichen Patch-Zyklus veröffentlicht[1], die drei
teilweise bereits aktiv ausgenützte Sicherheitslücken schliessen.
Auswirkungen
Adobe gibt an, dass durch Ausnützen von zwei der durch dieses Update
geschlossenen Sicherheitslücken ein Angreifer die Kontrolle über
einen Client-Rechner übernehmen kann. Damit sind alle Daten auf
diesen Systemen, sowie alle durch diese erreichbaren (etwa durch
Login, VPN etc.) Daten und Systeme gefährdet.
Weiters weist Adobe darauf hin, dass ein entsprechender Exploit "in
the wild" existiert und auch bereits aktiv benutzt wird.
Betroffene Systeme
Systeme, auf denen folgende Software von Adobe installiert ist:
* Adobe Flash Player für Windows und Macintosh in der Version
12.0.0.44 und älter.
* Adobe Flash Player für Linux in der Version 11.2.202.336 und
älter.
* Adobe AIR, AIR SDK und AIR SDK & Compiler in der Version
4.0.0.1390 und älter.
Abhilfe
Installation der bereitgestellten Updates, sofern dies nicht bereits
durch die "automatische Updates"-Features von Adobe erfolgt ist. Wir
empfehlen, auch bei aktiviertem "automatische Updates" zu prüfen ob
das Update erfolgreich war. Zur Prüfung der installierten Version
von Flash Player stellt Adobe eine eigene Webseite
(http://www.adobe.com/software/flash/about/) zur Verfügung, die
Prüfung der installierten Version von AIR ist auf
http://helpx.adobe.com/air/kb/determine-version-air-runtime.html
möglich.
Da Adobe mit der auf der üblichen Downloadseite[2] bereitgestellten
Version auch potentiell unerwünschte andere Software mitinstalliert,
empfehlen wir, die aktualisierte Version des Flash Players von hier
zu beziehen:
https://www.adobe.com/products/flashplayer/distribution3.html.
Die aktualisierte Version von AIR lässt sich von hier beziehen:
http://get.adobe.com/air.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Security Bulletin von Adobe (englisch)
[1]http://helpx.adobe.com/security/products/flash-player/apsb14-07.html
[2]https://get.adobe.com/flashplayer/
--
// Stephan Richter <richter at cert.at> - T: +43 1 5056416 78
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 901 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20140224/0f9c666f/attachment.sig>
More information about the Warning
mailing list