[Warning] Mehrere kritische Sicherheitslücken in Adobe Flash Player, AIR, Flash Media Server und ColdFusion
Robert Waldner
waldner at cert.at
Wed Aug 11 14:10:09 CEST 2010
11. August 2010
Beschreibung
Wie Adobe berichtet, gibt es eine ganze Reihe an
sicherheitsrelevanten Lücken in den aktuellen Versionen von Flash
Player, AIR[1] und Flash Media Server[2], die es einem Angreifer
ermöglichen könnten, ein System zu übernehmen, sowie ein Problem mit
Directory Traversal und dem unbeabsichtigten Preisgeben von
Informationen mit ColdFusion[3].
Auswirkungen
Mehrere dieser Lücken bieten laut Adobe die Möglichkeit zu Remode
Code Execution, und daher einem Angreifer einen Weg, ein System zu
übernehmen. Die beschriebene Lücke in ColdFusion bezieht sich auf
Directory Traversal und das unbeabsichtigte Preisgeben von
Informationen.
Speziell, da sich Flash-Dateien auch einfach in Webseiten integrieren
lassen, erwartet CERT.at, dass bald entsprechend präparierte
Webseiten und Links darauf etwa per Spam-Mail verteilt werden. Flash
Player verfügt zwar über eine automatische Update-Funktion, diese
sucht in der Default-Einstellung allerdings nur alle 7 Tage, ob
etwaige neue Versionen zur Verfügung stehen.
Betroffene Systeme
Systeme, auf denen folgende Software von Adobe installiert ist:
* Adobe Flash Player bis inkl. Version 10.1.53.64, für Windows,
Macintosh, Linux und Solaris
* Adobe AIR bis inkl. Version 2.0.2.12610, für Windows, Macintosh
und Linux
* Adobe Flash Media Server bis inkl. Version 3.5.3 bzw. 3.0.5, für
Windows und Unix
* Adobe ColdFusion bis inkl. Versionen 8.0, 8.0.1, 9.0 bzw. 9.0.1
Abhilfe
Upgrade auf die jeweils aktuellen Versionen, Details bitte den
jeweiligen Warnings von Adobe zu entnehmen:
* 1: Flash Player/AIR:
http://www.adobe.com/support/security/bulletins/apsb10-16.html
* 2: Flash Media Server:
http://www.adobe.com/support/security/bulletins/apsb10-19.html
* 3: ColdFusion:
http://www.adobe.com/support/security/bulletins/apsb10-18.html
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
1: Meldung von Adobe zu Flash Player und AIR (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-16.html
2: Meldung von Adobe zu Flash Media Server (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-19.html
3: Meldung von Adobe zu ColdFusion (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-18.html
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20100811/128377d1/attachment.sig>
More information about the Warning
mailing list