[Warning] Kritische Sicherheitslücken in Adobe Flash Player, AIR und AIR SDK - aktiv ausgenützt - Patches verfügbar

Mon Dec 28 20:15:41 CET 2015

28. Dezember 2015

*Beschreibung*

Adobe hat ausserhalb des monatlichen Patch-Zyklus Updates für Flash
Player, AIR und AIR SDK veröffentlicht[1], mit denen teils kritische
Sicherheitslücken geschlossen werden. Eine der Schwachstellen
(CVE-2015-8651) wird Berichten zufolge bereits aktiv ausgenützt.

CVE-Nummern: CVE-2015-8459, CVE-2015-8460, CVE-2015-8634, CVE-2015-8635,
CVE-2015-8636, CVE-2015-8638, CVE-2015-8639, CVE-2015-8640,
CVE-2015-8641, CVE-2015-8642, CVE-2015-8643, CVE-2015-8644,
CVE-2015-8645, CVE-2015-8646, CVE-2015-8647, CVE-2015-8648,
CVE-2015-8649, CVE-2015-8650, CVE-2015-8651

*Auswirkungen*

Durch Ausnützen mancher dieser Lücken kann ein Angreifer laut Adobe die
Kontrolle über betroffene Systeme übernehmen.
Damit sind alle Daten auf diesen Systemen, sowie alle durch diese
erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Da die Lücken nun bekannt sind, ist damit zu rechnen, dass in
zunehmendem Maß versucht werden wird, diese auszunützen.

*Betroffene Systeme*

Systeme, auf denen folgende Software von Adobe installiert ist:

  * Adobe Flash Player Desktop Runtime 20.0.0.235 und älter für
    Windows und Macintosh
  * Adobe Flash Player Extended Support Release 18.0.0.268 und älter
    für Windows und Macintosh
  * Adobe Flash Player für Google Chrome 20.0.0.228 und älter für
    Windows, Macintosh, Linux und ChromeOS
  * Adobe Flash Player für Microsoft Edge und Internet Explorer 11
    20.0.0.228 und älter für Windows 10
  * Adobe Flash Player für Internet Explorer 10 und 11 20.0.0.228 und
    älter für Windows 8.0 und 8.1
  * Adobe Flash Player für Linux 11.2.202.554 und älter für Linux
  * AIR Desktop Runtime 20.0.0.204 und älter für Windows und
    Macintosh
  * AIR SDK 20.0.0.204 und älter für Windows, Macintosh, Android und
    iOS
  * AIR SDK & Compiler 20.0.0.204 und älter für Windows, Macintosh,
    Android und iOS
  * AIR for Android 20.0.0.204

*Abhilfe*

Einspielen der von Adobe zur Verfügung gestellten Updates.

Wo dies nicht möglich ist, sollte auf "Click-To-Play" Funktionen des
Internet Browsers zurückgegriffen werden, und nur vertrauenswürdigen
Webseiten das Abspielen von Flash Content erlaubt werden.

Grundsätzlich empfehlen wir auch, wo möglich, für alle Arten von
Browser-Plugins auf solche "Click-to-play"-Funktionalitäten von
Internet-Browsern zurückzugreifen.

Da Adobe mit der auf der üblichen Downloadseite bereitgestellten
Version von Flash Player unter Umständen auch potentiell unerwünschte
andere Software mitinstalliert, empfehlen wir, die aktualisierte
Version des Flash Players von hier zu beziehen:
https://www.adobe.com/products/flashplayer/distribution3.html.

Sollten wir zu einem späteren Zeitpunkt über mehr Informationen
verfügen, werden wir diese Warnung entsprechend updaten - die
aktuelle Version ist immer via https://cert.at/ abrufbar.

*Hinweis*

Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
  __________________________________________________________________

Informationsquelle(n):
[1] Adobe Security Bulletin APSB16-01 (englisch)
http://helpx.adobe.com/security/products/flash-player/apsb16-01.html

-- 
// Stephan Richter <richter at cert.at> - T: +43 1 5056416 78
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 836 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20151228/4d42bcb5/attachment.sig>