[Warning] Update für Sicherheitslücken in Adobe Flash Player (aktiv ausgenüzt)
Robert Waldner
waldner at cert.at
Fri Feb 8 12:22:24 CET 2013
8. Februar 2013
Beschreibung
Adobe hat eine neue Version des Flash Player Plugins ausserhalb des
monatlichen Patch-Zyklus veröffentlicht[1], die bereits aktiv
ausgenützte Sicherheitslücken schliesst.
Auswirkungen
Es werden mindestens die folgenden 2 Sicherheitslücken aktiv
ausgenützt:
* CVE-2013-0633[2]: ein Microsoft-Word Dokument mit eingebettetem
Adobe Flash-Objekt (SWF) wird als Attachment per Email versandt,
und der Empfänger aufgefordert, dieses zu öffnen. Damit wird das
ActiveX-Plugin des Adobe Flash Players für Microsoft Windows
angegriffen.
* CVE-2013-0634[3]: wie oben; diese Lücke wird zusätzlich auch
durch eingettete Adobe Flash-Objekte in Webseiten ausgenützt,
dabei werden speziell Macintosh-Rechner mit Apple Safari und
Mozilla Firefox Browsern attackiert.
Betroffene Systeme
Systeme, auf denen folgende Software von Adobe installiert ist:
* Adobe Flash Player für Microsoft Windows und Apple Macintosh, bis
einschliesslich Version 11.5.502.146
* Adobe Flash Player für Linux, bis einschliesslich Version
11.2.202.261
* Adobe Flash Player für Android 4.x, bis einschliesslich Version
11.1.115.36
* Adobe Flash Player für Android 3.x und 2.x, bis einschliesslich
Version 11.1.111.31
Abhilfe
Installation des bereitgestellten Updates.
Da Adobe mit der auf der üblichen Downloadseite[4] bereitgestellten
Version auch potentiell unerwünschte andere Software mitinstalliert,
empfehlen wir, die aktualisierte Version von hier zu beziehen:
https://www.adobe.com/products/flashplayer/distribution3.html
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Security Bulletin von Adobe (englisch)
https://www.adobe.com/support/security/bulletins/apsb13-04.html
Meldung von Brian Krebs (englisch)
https://krebsonsecurity.com/2013/02/critical-flash-player-update-fixes-two-zero-days/
References
1. https://www.adobe.com/support/security/bulletins/apsb13-04.html
2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0633
3. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0634
4. https://get.adobe.com/flashplayer/
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20130208/e64c1546/attachment.sig>
More information about the Warning
mailing list