[Warning] "Out-of-Band"-Update für Adobe Flash Player

Wed Nov 26 08:15:03 CET 2014

26. November 2014

Beschreibung

   Adobe hat neue Versionen des Flash Players ausserhalb des monatlichen
   Patch-Zyklus veröffentlicht.
   Adobe gibt an, dass durch dieses Update zusätzlicher Schutz zu den im
   Oktober gefixten Problemen bereitgestellt wird.

   Laut F-Secure bieten die Oktober-Updates zwar momentan Schutz vor
   einem Ausnutzen einer neuen Lücke (CVE-2014-8439), aber erst das neue
   Update behebt das zugrundeliegende Problem.

Auswirkungen

   Sollte der Bug trotz der Oktober-Updates doch ausnutzbar sein, würde
   er einem Angreifer Remote Code Execution ermöglichen. Damit wären
   alle Daten auf betroffenen Systemen, sowie alle durch diese
   erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme
   gefährdet.

   Es ist davon auszugehen, dass der nun vorliegende Patch von
   Exploit-Kit-Autoren etc. nun eingehend analysiert wird, und falls das
   Problem trotz der Updates von Oktober ausnutzbar ist, entsprechende
   Exploits bald kursieren werden.

Betroffene Systeme

   Systeme, auf denen folgende Software von Adobe installiert ist:
     * Adobe Flash Player Desktop Runtime 15.0.0.223 und älter für
       Windows und Macintosh
     * Adobe Flash Player Extended Support Release 13.0.0.252 und älter
       für Windows und Macintosh
     * Adobe Flash Player für Google Chrome 15.0.0.223 und älter für
       Windows, Macintosh und Linux
     * Adobe Flash Player für Internet Explorer 10 und Internet Explorer
       11 15.0.0.223 und älter für Windows 8.0 und 8.1
     * Adobe Flash Player 11.2.202.418 und älter für Linux

Abhilfe

   Installation der bereitgestellten Updates, sofern dies nicht bereits
   durch die "automatische Updates"-Features von Adobe erfolgt ist.
   Bei "mitinstalliertem" Flash Player bei Web-Browsern sollte das
   Update durch die Web-Browser erfolgen.

   Wir empfehlen in jedem Fall - auch bei aktiviertem "automatische
   Updates" - zu prüfen, ob das Update erfolgreich war. Zur Prüfung der
   installierten Version von Flash Player stellt Adobe eine eigene
   Webseite zur Verfügung:
   http://www.adobe.com/software/flash/about/

   Da Adobe mit der auf der üblichen Downloadseite
   (https://get.adobe.com/flashplayer/) bereitgestellten Version auch
   potentiell unerwünschte andere Software mitinstalliert, empfehlen
   wir, die aktualisierte Version des Flash Players von hier zu
   beziehen:
   https://www.adobe.com/products/flashplayer/distribution3.html

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Security Bulletin von Adobe (englisch)
   http://helpx.adobe.com/security/products/flash-player/apsb14-26.html
   Blog Post von F-Secure (englisch)
   https://www.f-secure.com/weblog/archives/00002768.html

-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20141126/5cd0886b/attachment.sig>