[Warning] Update für Sicherheitslücken in Adobe Flash Player (aktiv ausgenüzt)

Robert Waldner waldner at cert.at
Fri Feb 8 12:22:24 CET 2013


8. Februar 2013

Beschreibung

   Adobe hat eine neue Version des Flash Player Plugins ausserhalb des
   monatlichen Patch-Zyklus veröffentlicht[1], die bereits aktiv
   ausgenützte Sicherheitslücken schliesst.

Auswirkungen

   Es werden mindestens die folgenden 2 Sicherheitslücken aktiv
   ausgenützt:
     * CVE-2013-0633[2]: ein Microsoft-Word Dokument mit eingebettetem
       Adobe Flash-Objekt (SWF) wird als Attachment per Email versandt,
       und der Empfänger aufgefordert, dieses zu öffnen. Damit wird das
       ActiveX-Plugin des Adobe Flash Players für Microsoft Windows
       angegriffen.
     * CVE-2013-0634[3]: wie oben; diese Lücke wird zusätzlich auch
       durch eingettete Adobe Flash-Objekte in Webseiten ausgenützt,
       dabei werden speziell Macintosh-Rechner mit Apple Safari und
       Mozilla Firefox Browsern attackiert.

Betroffene Systeme

   Systeme, auf denen folgende Software von Adobe installiert ist:
     * Adobe Flash Player für Microsoft Windows und Apple Macintosh, bis
       einschliesslich Version 11.5.502.146
     * Adobe Flash Player für Linux, bis einschliesslich Version
       11.2.202.261
     * Adobe Flash Player für Android 4.x, bis einschliesslich Version
       11.1.115.36
     * Adobe Flash Player für Android 3.x und 2.x, bis einschliesslich
       Version 11.1.111.31

Abhilfe

   Installation des bereitgestellten Updates.

   Da Adobe mit der auf der üblichen Downloadseite[4] bereitgestellten
   Version auch potentiell unerwünschte andere Software mitinstalliert,
   empfehlen wir, die aktualisierte Version von hier zu beziehen:
   https://www.adobe.com/products/flashplayer/distribution3.html

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Security Bulletin von Adobe (englisch)
   https://www.adobe.com/support/security/bulletins/apsb13-04.html
   Meldung von Brian Krebs (englisch)

https://krebsonsecurity.com/2013/02/critical-flash-player-update-fixes-two-zero-days/

References

   1. https://www.adobe.com/support/security/bulletins/apsb13-04.html
   2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0633
   3. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0634
   4. https://get.adobe.com/flashplayer/


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20130208/e64c1546/attachment.sig>


More information about the Warning mailing list