Mehrere kritische Sicherheitslücken in Adobe Shockwave Player
18. Dezember 2012
Informationsquelle(n):
Meldung des US-CERT zum Downgrade-Problem (englisch)
http://www.kb.cert.org/vuls/id/546769
Meldung des US-CERT zum Problem mit veralteter Flash Player-Version (englisch)
http://www.kb.cert.org/vuls/id/323161
Meldung des US-CERT zum Problem mit veralteten "Xtras" (englisch)
http://www.kb.cert.org/vuls/id/519137
Beschreibung
Das US-CERT meldet mehrere Schwachstellen in Adobe Shockwave Player:Shockwave Player anfällig für Downgrade-Attacken
Wenn eine Webseite nicht angibt, die aktuelle Shockwave-Version 11 zu benötigen, dann wird die alte Version 10 installiert. Diese enthält mehrere bekannte Schwachstellen, für die auch teilweise Exploits verfügbar und verbreitet sind.Shockwave Player installiert alte Version von Flash Player
Shockwave Player benutzt nicht die systemweit installierte Version des Flash Players, sondern bringt eine "eingebaute" mit - diese ist allerdings veraltet und es existieren eine Reihe von bekannten Verwundbarkeiten für diese (Meldungen von CERT.at zu Adobe Flash Player).Shockwave Player installiert "Xtras" ohne Rückfrage
Wenn Shockwave-Content Funktionen aus sogenannten "Xtras" benutzt, die noch nicht am System vorhanden sind, so werden diese automatisch nachinstalliert, wenn sie signiert sind. Der Ort, von dem diese "Xtras" heruntergeladen werden, ist allerdings im Shockwave Inhalt definiert - ein Angreifer kann so unter Umständen dafür sorgen, dass alte Versionen dieser "Xtras" installiert werden und dann deren Verwundbarkeiten ausnutzen.
Auswirkungen
Für alte Versionen von Adobe Flash Player sind eine ganze Reihe an bekannten Verwundbarkeiten und darauf aufbauenden Exploits für unter anderem Remote Code Execution bekannt. Wir erwarten, dass bald entsprechend präparierte Webseiten auftauchen und URLs darauf etwa per Spam-Mail verteilt werden.Betroffene Systeme
Systeme, auf denen Adobe Shockwave Player (Version 11.6.8.368 oder früher) installiert oder installierbar ist, auf Microsoft Windows und Apple Betriebssystemen.Abhilfe
Bis zum Erscheinen entsprechend gefixter Versionen von Adobe Shockwave Player können die folgenden Massnahmen helfen, die Auswirkungen dieser Schwachstellen zu begrenzen:- Limitieren von Shockwave Inhalten
- Deaktivieren des Shockwave Player ActiveX Controls (für Nutzer von Microsoft Internet Explorer) durch das Setzen des sog.
"Kill Bits" für folgende CLSIDs in der Windows Registry:
{166B1BCA-3F9C-11CF-8075-444553540000}und{233C1507-6A77-46A4-9443-F871F945D258}. Nähere Informationen dazu gibt es direkt von Microsoft: http://support.microsoft.com/kb/240797 - Weiters können die allgemeinen Hinweise zu Mitigation-Technologien wie DEP und ASLR hilfreich sein: http://blogs.technet.com/b/srd/archive/2010/12/08/on-the-effectiveness-of-dep-and-aslr.aspx
- Auch die allgemeinen Hinweise des US-CERT zur Absicherung von Web-Browsern verdienen in diesem Kontext spezielle Beachtung: http://www.us-cert.gov/reading_room/securing_browser/
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
Meldung des US-CERT zum Downgrade-Problem (englisch)
http://www.kb.cert.org/vuls/id/546769
Meldung des US-CERT zum Problem mit veralteter Flash Player-Version (englisch)
http://www.kb.cert.org/vuls/id/323161
Meldung des US-CERT zum Problem mit veralteten "Xtras" (englisch)
http://www.kb.cert.org/vuls/id/519137