[Warning] Erneut "Zero-Day"-Sicherheitslücke in Adobe Flash Player - Patches noch nicht verfügbar
Robert Waldner
waldner at cert.at
Sat Jul 11 13:18:05 CEST 2015
11. Juli 2015
Beschreibung
Wie Adobe gestern bekannt gab, gibt es erneut eine als "kritisch"
eingestufte Sicherheitslücke in Adobe Flash Player.
Ein fertiger Exploit für dieses Problem ist öffentlich verfügbar, und
es ist daher anzunehmen, dass dieser zeitnah von diversen Akteuren
ausgenützt werden wird (Exploit Kits, Drive-By Downloads, Links in
Spam-Mails und so weiter).
CVE-Nummer: CVE-2015-5122.
Auswirkungen
Durch Ausnutzen dieser Lücke kann ein Angreifer vermutlich
vollständige Kontrolle über betroffene Systeme erlangen.
Damit sind alle Daten auf diesen Systemen, sowie alle durch diese
erreichbaren (etwa durch Login, VPN, Fileshare etc.) Daten und
Systeme gefährdet.
Betroffene Systeme
Systeme, auf denen folgende Software von Adobe installiert ist:
* Adobe Flash Player 18.0.0.203 und ältere Versionen für Microsoft
Windows und Mac OSX
* Adobe Flash Player 18.0.0.204 und frühere Versionen für Linux,
die mit Google Chrome installiert wurden
* Adobe Flash Player "Extended Support Release" 13.0.0.302 und
ältere 13.x Versionen für Microsoft Windows und Mac OSX
* Adobe Flash Player "Extended Support Release" 11.2.202.481 und
ältere Versionen für Linux
Abhilfe
Adobe hat angekündigt, nächste Woche entsprechende Updates zur
Verfügung zu stellen.
*Bis dahin empfehlen wir dringend, den Adobe Flash Player zu
deaktivieren.*
Wo dies nicht möglich ist, sollte auf "Click-To-Play" Funktionen von
Internet Browsern zurückgegriffen werden, und nur vertrauenswürdigen
Webseiten das Abspielen von Flash Content erlaubt werden.
Grundsätzlich empfehlen wir auch, wo möglich, für *alle* Arten von
Browser-Plugins auf solche "Click-to-play"-Funktionalitäten von
Internet-Browsern zurückzugreifen.
Sollten wir zu einem späteren Zeitpunkt über mehr Informationen
verfügen, werden wir diese Warnung entsprechend updaten - die
aktuelle Version ist immer via https://cert.at/ abrufbar.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Adobe Security Bulletin APSA15-04 (englisch)
https://helpx.adobe.com/security/products/flash-player/apsa15-04.html
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 811 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20150711/ef026dfc/attachment.sig>
More information about the Warning
mailing list