[Warning] Erneut "Zero-Day"-Sicherheitslücke in Adobe Flash Player - Patches noch nicht verfügbar

Robert Waldner waldner at cert.at
Sat Jul 11 13:18:05 CEST 2015 

11. Juli 2015

Beschreibung

   Wie Adobe gestern bekannt gab, gibt es erneut eine als "kritisch"
   eingestufte Sicherheitslücke in Adobe Flash Player.

   Ein fertiger Exploit für dieses Problem ist öffentlich verfügbar, und
   es ist daher anzunehmen, dass dieser zeitnah von diversen Akteuren
   ausgenützt werden wird (Exploit Kits, Drive-By Downloads, Links in
   Spam-Mails und so weiter).

   CVE-Nummer: CVE-2015-5122.

Auswirkungen

   Durch Ausnutzen dieser Lücke kann ein Angreifer vermutlich
   vollständige Kontrolle über betroffene Systeme erlangen.
   Damit sind alle Daten auf diesen Systemen, sowie alle durch diese
   erreichbaren (etwa durch Login, VPN, Fileshare etc.) Daten und
   Systeme gefährdet.

Betroffene Systeme

   Systeme, auf denen folgende Software von Adobe installiert ist:
     * Adobe Flash Player 18.0.0.203 und ältere Versionen für Microsoft
       Windows und Mac OSX
     * Adobe Flash Player 18.0.0.204 und frühere Versionen für Linux,
       die mit Google Chrome installiert wurden
     * Adobe Flash Player "Extended Support Release" 13.0.0.302 und
       ältere 13.x Versionen für Microsoft Windows und Mac OSX
     * Adobe Flash Player "Extended Support Release" 11.2.202.481 und
       ältere Versionen für Linux

Abhilfe

   Adobe hat angekündigt, nächste Woche entsprechende Updates zur
   Verfügung zu stellen.

   *Bis dahin empfehlen wir dringend, den Adobe Flash Player zu
    deaktivieren.*
   Wo dies nicht möglich ist, sollte auf "Click-To-Play" Funktionen von
   Internet Browsern zurückgegriffen werden, und nur vertrauenswürdigen
   Webseiten das Abspielen von Flash Content erlaubt werden.

   Grundsätzlich empfehlen wir auch, wo möglich, für *alle* Arten von
   Browser-Plugins auf solche "Click-to-play"-Funktionalitäten von
   Internet-Browsern zurückzugreifen.

   Sollten wir zu einem späteren Zeitpunkt über mehr Informationen
   verfügen, werden wir diese Warnung entsprechend updaten - die
   aktuelle Version ist immer via https://cert.at/ abrufbar.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Adobe Security Bulletin APSA15-04 (englisch)
   https://helpx.adobe.com/security/products/flash-player/apsa15-04.html


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 811 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20150711/ef026dfc/attachment.sig>

More information about the Warning mailing list