2. Update - "Zero-Day"-Sicherheitslücke in Adobe Flash Player (aktiv ausgenützt) - Patches jetzt verfügbar

22. Jänner 2015

Update 23. Jänner 2015
Update 26. Jänner 2015

Beschreibung

Wie der bekannte Sicherheitsforscher "Kafeine" in seinem Blog berichtet (http://malware.dontneedcoffee.com/2015/01/unpatched-vulnerability-0day-in-flash.html), scheint es eine neue, noch ungepatchte Sicherheitslücke im Adobe Flash Player zu geben, die aktiv von zumindest einem Exploit Kit ausgenützt wird.

Auswirkungen

Durch Ausnutzen dieser Lücke kann ein Angreifer vermutlich vollständige Kontrolle über betroffene Systeme erlangen.
Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Da das Bestehen einer Lücke nun öffentlich bekannt ist, ist auch anzunehmen, dass sich diverse Akteure nun darauf konzentrieren werden, und entsprechend ist bald mit grossflächigen Kampagnen, die diese Lücke auszunutzen versuchen, zu rechnen.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:
  • Adobe Flash Player 16.0.0.257 (und vermutlich auch ältere Versionen) für Microsoft Windows
Update 23. Jänner 2015
Adobe hat gestern noch ein Update für Flash Player auf Version 16.0.0.287 veröffentlicht, wie auch Updates für andere Versionen (Extended Support Release etc.) - siehe https://helpx.adobe.com/security/products/flash-player/apsb15-02.html.
Weiters gibt Adobe an, vermutlich im Laufe der nächsten Woche ein Update für das aktuelle Problem zur Verfügung stellen zu können.

Laut einem Update des Blog-Posts von "Kafeine" ist der Flash Player aber bis inkl. der gestern erschienenen Version 16.0.0.287 betroffen, sowohl mit Microsoft Internet Explorer wie auch mit Mozilla Firefox, auf allen (getesteten) Versionen von Microsoft Windows.

Wir empfehlen, die verfügbaren Updates jedenfalls zu installieren, da diese auch andere, genauso aktiv ausgenützte, Sicherheitslücken beheben. Trotzdem sollte Flash Player - wo möglich - momentan deaktiviert bleiben. Bei Heise Security (http://www.heise.de/security/meldung/Flash-Player-deaktivieren-Sicherheits-Update-laesst-kritische-Luecke-offen-2526789.html) finden sich Informationen, wie der Flash Player in Microsoft Internet Explorer und Google Chrome deaktiviert werden kann.

Da Adobe mit der auf der üblichen Downloadseite bereitgestellten Version auch potentiell unerwünschte andere Software mitinstalliert, empfehlen wir, die aktualisierte Version des Flash Players von hier zu beziehen: https:// www.adobe.com/products/flashplayer/distribution3.html.

Ob die Lücke auch Adobe Flash Player auf anderen Betriebssystemen betrifft, ist momentan nicht bekannt - sicherheitshalber sollte aber davon ausgegangen werden.

"Kafeine" berichtet zwar, dass das Exploit Kit momentan nicht versucht, die neue Lücke an bestimmte Internet-Browser/Betriebssystem-Versionen auszuliefern, das heisst aber nicht, dass diese nicht auch prinzipiell dafür anfällig sein könnten.
Auch ob Nutzung von Microsoft EMET (siehe https://support.microsoft.com/kb/2458544) vor dieser Lücke schützen kann, ist derzeit nicht bekannt.

Abhilfe

Update 26. Jänner 2015
Adobe hat heute Updates (auf Version 16.0.0.296 für Windows und Mac, 11.2.202.440 für Linux) veröffentlicht, die auch dieses Problem beheben sollten - allerdings scheinen nicht alle Webseiten von Adobe die richtigen Versionsnummern zu referenzieren bzw. werden veraltete Versionen zum Download angeboten. Heise Security beschreibt dies in diesem Artikel ausführlich: http://www.heise.de/newsticker/meldung/Adobe-stiftet-Verwirrung-mit-falschen-Versionsangaben-fuer-Flash-2528458.html.

Da momentan noch keine Detailinformationen zu dieser Lücke vorliegen (etwa ob die Lücke nur in bestimmten Konfigurationen bzw. in Kombination mit bestimmten Internet-Browsern ausnutzbar ist), und auch kein Patch zur Verfügung steht, können wir zur Zeit nur empfehlen, den Adobe Flash Player zu deaktivieren. Dies kann Auswirkungen auf die Benutzbarkeit von Webseiten haben.

Generell empfehlen wir auch, wo möglich, für alle Arten von Browser-Plugins auf "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen.

Sobald wir über mehr Informationen verfügen, werden wir diese Warnung entsprechend updaten - die aktuelle Version ist immer via https://cert.at/ abrufbar.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Blog-Post von "Kafeine" (englisch)
http://malware.dontneedcoffee.com/2015/01/unpatched-vulnerability-0day-in-flash.html
Meldung bei Heise Security
http://www.heise.de/security/meldung/Bisher-unbekannte-Flash-Luecke-fuer-Angriffe-missbraucht-2525356.html