2. Update: Erneut "Zero-Day"-Sicherheitslücke in Adobe Flash Player (aktiv ausgenützt) - Patches jetzt verfügbar

14. Oktober 2015

Update 15. Oktober 2015
Update 16. Oktober 2015

Beschreibung

Wie die IT-Security Firma Trend Micro gestern berichtet hat, scheint es eine neue "Zero-Day" Sicherheitslücke in Adobe Flash Player zu geben, die auch bereits aktiv ausgenutzt wird.

Update 15. Oktober 2015
CVE-Nummer: CVE-2015-7645

Update 16. Oktober 2015
Weitere CVE-Nummern: CVE-2015-7647, CVE-2015-7648

Auswirkungen

Durch Ausnutzen dieser Lücke kann ein Angreifer vermutlich vollständige Kontrolle über betroffene Systeme erlangen.
Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:
  • Adobe Flash Player 19.0.0.207 und ältere Versionen für Microsoft Windows
Ob auch die aktuellen Version für Mac OSX und Linux, sowie die "Extended Support Releases" betroffen sind, ist derzeit unklar.

Update 15. Oktober 2015

Wie Adobe nun bekanntgegeben hat, sind folgende Versionen betroffen:

  • Adobe Flash Player 19.0.0.207 und älter für Windows und Macintosh
  • Adobe Flash Player Extended Support Release 18.0.0.252 und ältere 18.x Versionen
  • Adobe Flash Player 11.2.202.535 und ältere 11.x Versionen für Linux

Abhilfe

Da noch kein Update zur Verfügung steht und auch keine Möglichkeiten zur Mitigation bekannt sind, empfehlen wir dringend, den Adobe Flash Player zu deaktivieren. Wo dies nicht möglich ist, sollte auf "Click-To-Play" Funktionen des Internet Browsers zurückgegriffen werden, und nur vertrauenswürdigen Webseiten das Abspielen von Flash Content erlaubt werden.

Grundsätzlich empfehlen wir auch, wo möglich, für alle Arten von Browser-Plugins auf solche "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen.

Sollten wir zu einem späteren Zeitpunkt über mehr Informationen verfügen, werden wir diese Warnung entsprechend updaten - die aktuelle Version ist immer via https://cert.at/ abrufbar.

Update 16. Oktober 2015

Adobe hat nun entsprechende Updates veröffentlicht, siehe Adobe Security Bulletin APSB15-27.

Wir empfehlen in jedem Fall - auch bei aktiviertem "automatische Updates" - zu prüfen, ob das Update erfolgreich war. Zur Prüfung der installierten Version von Flash Player stellt Adobe eine eigene Webseite zur Verfügung.

Da Adobe mit der auf der üblichen Downloadseite bereitgestellten Version unter Umständen auch potentiell unerwünschte andere Software mitinstalliert, empfehlen wir, die aktualisierte Version des Flash Players von hier zu beziehen: https://www.adobe.com/products/flashplayer/distribution3.html.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Blog-Post von Trend Micro (englisch)
http://blog.trendmicro.com/trendlabs-security-intelligence/new-adobe-flash-zero-day-used-in-pawn-storm-campaign/
Artikel dazu bei derstandard.at
http://derstandard.at/2000023832657/Flash-Neuer-Zero-Day-Exploit-folgt-direkt-auf-Patchday
Meldung dazu von Adobe (englisch)
https://helpx.adobe.com/security/products/flash-player/apsa15-05.html
Adobe Security Bulletin APSB15-27 (englisch)
https://helpx.adobe.com/security/products/flash-player/apsb15-27.html