Update für kritische Sicherheitslücke in Adobe Flash (aktiv ausgenützt)

6. Juni 2011

Beschreibung

Wie Adobe berichtet, gibt es ein Update für Adobe Flash Player, welches eine kritische Sicherheitslücke behebt.

CVE Referenz-Nummern:

CVE-2011-2107

Auswirkungen

Diese "universelle" Cross-Site-Scripting Lücke bietet laut Adobe die Möglichkeit, die Kontrolle über personalisierte Webseiten des Anwenders (etwa Webmail-Zugänge) zu übernehmen.

Laut Aussage von Adobe wird diese Lücke bereits aktiv ausgenützt. Hierbei werden - momentan angeblich nur in gezielten, sog. "Spear-Phishing"-Attacken - Links auf entsprechend präparierte Webseiten mittels Spam-Mails verbreitet. Es ist zu erwarten, dass diese Attacken bald grossflächig stattfinden werden.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:

Adobe Flash Player 10.3.181.16 und älter für Windows, Macintosh, Linux und Solaris
Adobe Flash Player 10.3.185.22 für Android

Abhilfe

Installation des bereitgestellten Updates für Windows, Macintosh, Linux und Solaris, zB über das Adobe Flash Player Download Center.
Ein Update für die Android-Version ist für später diese Woche angekündigt.

Weiters weisen wir darauf hin, dass das Flash-Player-ActiveX-Plugin für Microsoft Internet Explorer eventuell getrennt aktualisiert werden muss, Details bitte dem Warning von Adobe zu entnehmen.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Adobe (englisch)
http://www.adobe.com/support/security/bulletins/apsb11-13.html
Meldung bei Heise.de
http://www.heise.de/security/meldung/Adobe-patcht-Zero-Day-Luecke-in-Flash-1255438.html