[Warning] Kritische Sicherheitslücke in Adobe Flash Player - aktiv ausgenützt - noch kein Patch verfügbar
Stephan Richter
richter at cert.at
Wed Apr 6 18:26:41 CEST 2016
6. April 2016
Beschreibung
Adobe hat angekündigt[1], ausserhalb des monatlichen Patch-Zyklus ein
Update für den Flash Player zu veröffentlichen, mit dem eine kritische
Sicherheitslücke geschlossen werden soll. Die Schwachstelle wird
bereits aktiv ausgenützt. Adobe berichtet von Angriffen auf Flash
Player 20.0.0.306 und älter unter Windows 7 und Windows XP.
CVE-Nummer: CVE-2016-1019
Auswirkungen
Durch Ausnützen dieser Lücke kann ein Angreifer laut Adobe die
Kontrolle über betroffene Systeme übernehmen.
Damit sind alle Daten auf diesen Systemen, sowie alle durch diese
erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.
Da die Lücke nun bekannt ist, ist damit zu rechnen, dass in zunehmendem
Maße versucht werden wird, diese auszunützen.
Betroffene Systeme
Systeme, auf denen folgende Software von Adobe installiert ist:
* Adobe Flash Player 21.0.0.197 und älter für Windows, Macintosh,
Linux, und Chrome OS. Laut Adobe beinhaltet Flash Player ab Version
21.0.0.182 eine Mitigation, die das Ausnützen der Schwachstelle
verhindern soll.
Abhilfe
Einspielen des Updates, sobald dieses von Adobe zur Verfügung gestellt
wird. Alternativ sollte eine vollständige Deinstallation des Flash
Players in Betracht gezogen werden.
Wo dies nicht möglich ist, sollte auf "Click-To-Play" Funktionen des
Internet Browsers zurückgegriffen werden, und nur vertrauenswürdigen
Webseiten das Abspielen von Flash Content erlaubt werden.
Grundsätzlich empfehlen wir auch, wo möglich, für alle Arten von
Browser-Plugins auf solche "Click-to-play"-Funktionalitäten von
Internet-Browsern zurückzugreifen.
Da Adobe mit der auf der üblichen Downloadseite bereitgestellten
Version von Flash Player unter Umständen auch potentiell unerwünschte
andere Software mitinstalliert, empfehlen wir, die aktualisierte
Version des Flash Players von hier zu beziehen:
https://www.adobe.com/products/flashplayer/distribution3.html.
Achtung: Adobe hat angekündigt, dass diese Downloadmöglichkeit nicht
mehr lange verfügbar sein wird.
Sollten wir zu einem späteren Zeitpunkt über mehr Informationen
verfügen, werden wir diese Warnung entsprechend updaten - die aktuelle
Version ist immer via https://cert.at/ abrufbar.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
[1]Adobe Security Advisory APSA16-01 (englisch)
https://helpx.adobe.com/security/products/flash-player/apsa16-01.html
--
// Stephan Richter <richter at cert.at> - T: +43 1 5056416 78
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 836 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20160406/418f354b/attachment.sig>
More information about the Warning
mailing list