[Warning] Out-of-Band - Patch für kritische Sicherheitslücke in Adobe Flash (aktiv ausgenützt)
Robert Waldner
waldner at cert.at
Thu Sep 22 08:43:40 CEST 2011
22. September 2011
Beschreibung
Wie Adobe berichtet, gibt es ein außerplanmäßiges Update für den
Adobe Flash Player, welches mehrere kritische Sicherheitslücken
behebt.
Zumindest eine der Schwachstellen wird bereits aktiv ausgenützt.
CVE Referenz-Nummern:
* CVE-2011-2426
* CVE-2011-2427
* CVE-2011-2428
* CVE-2011-2429
* CVE-2011-2430
* CVE-2011-2444
Auswirkungen
Da der Angreifer dadurch potentiell beliebigen Code auf betroffenen
Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie
alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und
Systeme gefährdet.
Die bereits aktiv ausgenützte Lücke betrifft Cross-Site-Scripting,
und wird in gezielten Attacken durch Links auf entsprechend
präparierte Webseiten, die per Email verschickt werden, benützt.
Betroffene Systeme
Systeme, auf denen folgende Software von Adobe installiert ist:
* Adobe Flash Player 10.3.183.7 und älter für Windows, Macintosh,
Linux und Solaris
* Adobe Flash Player 10.3.186.6 und älter für Android
Abhilfe
Installation des bereitgestellten Updates für Windows, Macintosh,
Linux und Solaris, z.B. über das Adobe Flash Player Download
Center[1].
Benutzer des Adobe Flash Players, Version 10.3.183.7 und neuer, unter
Windows und Macintosh können das Update auch durch Verwenden des
Auto-Update-Mechanismus installieren.
Android Benutzer finden das Update im Android Market Place[2].
__________________________________________________________________
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Meldung von Adobe (Englisch)
http://www.adobe.com/support/security/bulletins/apsb11-26.html
References
1. http://get.adobe.com/flashplayer/
2. https://market.android.com/details?id=com.adobe.flashplayer&hl=en
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 254 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20110922/b10f95e0/attachment.sig>
More information about the Warning
mailing list