[Warning] "Zero-Day"-Sicherheitslücke in Adobe Flash Player (aktiv ausgenützt)

Alexander Riepl riepl at cert.at
Tue Jun 23 18:29:34 CEST 2015 

"Zero-Day"-Sicherheitslücke in Adobe Flash Player (aktiv ausgenützt) -
Patches verfügbar

   23. Juni 2015

Beschreibung

  Wie Adobe in seinem Security Bulletin [1] berichtet, scheint es eine
neue Sicherheitslücke im Adobe Flash Player zu geben, die bereits aktiv
ausgenützt wird.

   Eintrag in der CVE-Datenbank: CVE-2015-3113 [2].

Auswirkungen

   Durch Ausnutzen dieser Lücke kann ein Angreifer vermutlich vollständige
   Kontrolle über betroffene Systeme erlangen.
   Damit sind alle Daten auf diesen Systemen, sowie alle durch diese
   erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

   Da das Bestehen einer Lücke nun öffentlich bekannt ist, und in
   limitiertem Umfang auch bereits gezielte Attacken durchgeführt werden,
   ist anzunehmen, dass sich diverse Akteure nun darauf konzentrieren
   werden, und entsprechend ist bald mit grossflächigen Kampagnen, die
   diese Lücke auszunutzen versuchen, zu rechnen.

Betroffene Systeme

   Systeme, auf denen folgende Software von Adobe installiert ist:
     * Adobe Flash Player 18.0.0.161 und ältere Versionen für Microsoft
       Windows und Mac OSX
     * Adobe Flash Player 13.0.0.292 und ältere 13.x Versionen für
       Microsoft Windows und Mac OSX
     * Adobe Flash Player 11.2.202.466 und ältere Versionen für Linux

Abhilfe

   Adobe hat für Benutzer mit aktivierter automatischer Aktualisierung
   Updates veröffentlicht, welche die Lücke schliessŸen. Standalone-Updates
   sowie Updates für die betroffenen Versionen von Google Chrome und
   Internet Explorer stehen ebenfalls zur Verfügung.

   Generell empfehlen wir auch, wo möglich, für alle Arten von
   Browser-Plugins auf "Click-to-play"-Funktionalitäten von
   Internet-Browsern zurückzugreifen.

   Sollten wir zu einem späteren Zeitpunkt über mehr Informationen
   verfügen, werden wir diese Warnung entsprechend updaten - die aktuelle
   Version ist immer via https://cert.at/ [3] abrufbar.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Adobe Security Bulletin
   [1] https://helpx.adobe.com/security/products/flash-player/apsb15-14.html
   CVE-2015-3113
   [2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3113
   cert.at
   [3] https://cert.at/
-- 
// Alexander Riepl <riepl at cert.at> - T: +43 1 5056416 78
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20150623/7681bf4a/attachment-0002.sig>

More information about the Warning mailing list