[Warning] Sicherheitslücken in Flash Player und Adobe AIR (aktiv ausgenützt, Updates verfügbar)

Stephan Richter richter at cert.at
Mon Feb 24 12:50:12 CET 2014 

24. Februar 2014

Beschreibung

   Adobe hat neue Versionen des Flash Player Plugins sowie von Adobe AIR
   ausserhalb des monatlichen Patch-Zyklus veröffentlicht[1], die drei
   teilweise bereits aktiv ausgenützte Sicherheitslücken schliessen.

Auswirkungen

   Adobe gibt an, dass durch Ausnützen von zwei der durch dieses Update
   geschlossenen Sicherheitslücken ein Angreifer die Kontrolle über
   einen Client-Rechner übernehmen kann. Damit sind alle Daten auf
   diesen Systemen, sowie alle durch diese erreichbaren (etwa durch
   Login, VPN etc.) Daten und Systeme gefährdet.

   Weiters weist Adobe darauf hin, dass ein entsprechender Exploit "in
   the wild" existiert und auch bereits aktiv benutzt wird.

Betroffene Systeme

   Systeme, auf denen folgende Software von Adobe installiert ist:

     * Adobe Flash Player für Windows und Macintosh in der Version
       12.0.0.44 und älter.
     * Adobe Flash Player für Linux in der Version 11.2.202.336 und
       älter.
     * Adobe AIR, AIR SDK und AIR SDK & Compiler in der Version
       4.0.0.1390 und älter.

Abhilfe

   Installation der bereitgestellten Updates, sofern dies nicht bereits
   durch die "automatische Updates"-Features von Adobe erfolgt ist. Wir
   empfehlen, auch bei aktiviertem "automatische Updates" zu prüfen ob
   das Update erfolgreich war. Zur Prüfung der installierten Version
   von Flash Player stellt Adobe eine eigene Webseite
   (http://www.adobe.com/software/flash/about/) zur Verfügung, die
   Prüfung der installierten Version von AIR ist auf
   http://helpx.adobe.com/air/kb/determine-version-air-runtime.html
   möglich.

   Da Adobe mit der auf der üblichen Downloadseite[2] bereitgestellten
   Version auch potentiell unerwünschte andere Software mitinstalliert,
   empfehlen wir, die aktualisierte Version des Flash Players von hier
   zu beziehen:
   https://www.adobe.com/products/flashplayer/distribution3.html.
   Die aktualisierte Version von AIR lässt sich von hier beziehen:
   http://get.adobe.com/air.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________

Informationsquelle(n):
Security Bulletin von Adobe (englisch)
[1]http://helpx.adobe.com/security/products/flash-player/apsb14-07.html
[2]https://get.adobe.com/flashplayer/

-- 
// Stephan Richter <richter at cert.at> - T: +43 1 5056416 78
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 901 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20140224/0f9c666f/attachment.sig>

More information about the Warning mailing list