Kritische Sicherheitslücke in Adobe Flash-Player

17. Oktober 2008

Kritische Sicherheitslücke in Adobe Flash-Player bis einschliesslich Version 9.0.124.0.

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

In Versionen des Adobe Flash-Player bis einschliesslich 9.0.124.0 existiert eine Sicherheitslücke, mit der vom Angreifer beliebiger Code auf betroffenen Systemen ausgeführt werden kann. Weiters wurden mit der aktuellen Version 10.0.12.36 auch Bugs bez. ClickJacking und einer potentiellen Port-scanning Lücke behoben.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Da Flash eine beliebte und sehr weit verbreitete Technik auf Webseiten ist, wird sich der entsprechende Player auf fast allen Arbeitsplatzrechnern befinden, und auch auf vielen Servern, die eine graphische Benutzeroberfläche und einen Internet-Browser installiert haben.

Abhilfe

Update des Flash Players auf Version 10.0.12.36 oder Blockieren von Flash-Dateien auf Firewall/Proxy etc. Updates sind via http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash verfügbar.

ACHTUNG

Sucht man derzeit mit Google nach "flash player", so führt einer der angebotenen Links (www.flash-player-10.com) zu Downloads, die Schadsoftware enthalten. Nutzen Sie daher bitte den oben angegebenen Link!

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen (etwa Microsoft Windows, Sun Java, Adobe Flash).
Informationsquelle(n):

Adobe Advisory
http://www.adobe.com/support/security/bulletins/apsb08-18.html
Heise Meldung (deutsch)
http://www.heise.de/security/Kritische-Sicherheitsluecken-in-Adobe-Flash-9--/news/meldung/117496
Informationen zur ClickJacking-Lücke
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-4503
Informationen zur Port-scanning - Lücke
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-4324