[Warning] Update für kritische Sicherheitslücke in Adobe Flash (aktiv ausgenützt)
Robert Waldner
waldner at cert.at
Mon Jun 6 12:14:20 CEST 2011
6. Juni 2011
Beschreibung
Wie Adobe berichtet[1], gibt es ein Update für Adobe Flash Player,
welches eine kritische Sicherheitslücke behebt.
CVE Referenz-Nummern[2]:
* CVE-2011-2107
Auswirkungen
Diese "universelle" Cross-Site-Scripting Lücke bietet laut Adobe die
Möglichkeit, die Kontrolle über personalisierte Webseiten des
Anwenders (etwa Webmail-Zugänge) zu übernehmen.
Laut Aussage von Adobe wird diese Lücke bereits aktiv ausgenützt.
Hierbei werden - momentan angeblich nur in gezielten, sog.
"Spear-Phishing"-Attacken - Links auf entsprechend präparierte
Webseiten mittels Spam-Mails verbreitet. Es ist zu erwarten, dass
diese Attacken bald grossflächig stattfinden werden.
Betroffene Systeme
Systeme, auf denen folgende Software von Adobe installiert ist:
* Adobe Flash Player 10.3.181.16 und älter für Windows, Macintosh,
Linux und Solaris
* Adobe Flash Player 10.3.185.22 für Android
Abhilfe
Installation des bereitgestellten Updates für Windows, Macintosh,
Linux und Solaris, zB über das Adobe Flash Player Download Center[3].
Ein Update für die Android-Version ist für später diese Woche
angekündigt.
Weiters weisen wir darauf hin, dass das Flash-Player-ActiveX-Plugin
für Microsoft Internet Explorer eventuell getrennt aktualisiert
werden muss, Details bitte dem Warning von Adobe zu entnehmen.
__________________________________________________________________
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquellen:
1. http://www.adobe.com/support/security/bulletins/apsb11-13.html
2. http://cve.mitre.org/about/index.html
3. http://get.adobe.com/flashplayer/
4.
http://www.heise.de/security/meldung/Adobe-patcht-Zero-Day-Luecke-in-Flash-1255438.html
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 262 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20110606/58e2d006/attachment.sig>
More information about the Warning
mailing list