[Warning] Kritische Sicherheitslücken in Adobe Flash Player, AIR und AIR SDK - Patches verfügbar
Robert Waldner
waldner at cert.at
Tue Sep 22 07:50:00 CEST 2015
22. September 2015
Beschreibung
Adobe hat gestern eine Reihe von Updates für mehrere Produkte (Flash
Player, AIR, AIR SDK) veröffentlicht, mit denen teils kritische
Sicherheitslücken geschlossen werden.
CVE-Nummern: CVE-2015-5567, CVE-2015-5568, CVE-2015-5570,
CVE-2015-5571, CVE-2015-5572, CVE-2015-5573, CVE-2015-5574,
CVE-2015-5575, CVE-2015-5576, CVE-2015-5577, CVE-2015-5578,
CVE-2015-5579, CVE-2015-5580, CVE-2015-5581, CVE-2015-5582,
CVE-2015-5584, CVE-2015-5587, CVE-2015-5588, CVE-2015-6676,
CVE-2015-6677, CVE-2015-6678, CVE-2015-6679, CVE-2015-6682
Auswirkungen
Durch Ausnutzen mancher dieser Lücken kann ein Angreifer laut Adobe
beliebigen Code auf betroffenen Systeme ausführen.
Damit sind alle Daten auf diesen Systemen, sowie alle durch diese
erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme
gefährdet.
Da die Lücken nun bekannt sind, ist es nur eine Frage der Zeit, bis
die diversen Akteure diese auszunutzen versuchen.
Betroffene Systeme
Systeme, auf denen folgende Software von Adobe installiert ist:
* Adobe Flash Player Desktop Runtime 18.0.0.232 und älter für
Windows und Macintosh
* Adobe Flash Player Extended Support Release 18.0.0.232 und älter
für Windows und Macintosh
* Adobe Flash Player für Google Chrome 18.0.0.233 und älter für
Windows, Macintosh, Linux und ChromeOS
* Adobe Flash Player für Microsoft Edge und Internet Explorer 11
18.0.0.232 und älter für Windows 10
* Adobe Flash Player für Internet Explorer 10 und 11 18.0.0.232 und
älter für Windows 8.0 und 8.1
* Adobe Flash Player für Linux 11.2.202.508 und älter für Linux
* AIR Desktop Runtime 18.0.0.199 und älter für Windows und
Macintosh
* AIR SDK 18.0.0.199 und älter für Windows, Macintosh, Android und
iOS
* AIR SDK & Compiler 18.0.0.180 und älter für Windows, Macintosh,
Android und iOS
* AIR for Android 18.0.0.143
Abhilfe
Einspielen der von Adobe zur Verfügung gestellten Updates.
Wo dies nicht möglich ist, sollte auf "Click-To-Play" Funktionen des
Internet Browsers zurückgegriffen werden, und nur vertrauenswürdigen
Webseiten das Abspielen von Flash Content erlaubt werden.
Grundsätzlich empfehlen wir auch, wo möglich, für alle Arten von
Browser-Plugins auf solche "Click-to-play"-Funktionalitäten von
Internet-Browsern zurückzugreifen.
Da Adobe mit der auf der üblichen Downloadseite bereitgestellten
Version von Flash Player unter Umständen auch potentiell unerwünschte
andere Software mitinstalliert, empfehlen wir, die aktualisierte
Version des Flash Players von hier zu beziehen:
https://www.adobe.com/products/flashplayer/distribution3.html.
Sollten wir zu einem späteren Zeitpunkt über mehr Informationen
verfügen, werden wir diese Warnung entsprechend updaten - die
aktuelle Version ist immer via https://cert.at/ abrufbar.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Adobe Security Bulletin APSB15-23 (englisch)
https://helpx.adobe.com/security/products/flash-player/apsb15-23.html
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20150922/fd63cdd9/attachment.sig>
More information about the Warning
mailing list