"Zero-Day"-Sicherheitslücke in Adobe Flash Player (aktiv ausgenützt) - Patches verfügbar

23. Juni 2015

Beschreibung

Wie Adobe in seinem Security Bulletin berichtet (https://helpx.adobe.com/security/products/flash-player/apsb15-14.html), scheint es eine neue Sicherheitslücke im Adobe Flash Player zu geben, die bereits aktiv ausgenützt wird.

Eintrag in der CVE-Datenbank: CVE-2015-3113.

Auswirkungen

Durch Ausnutzen dieser Lücke kann ein Angreifer vermutlich vollständige Kontrolle über betroffene Systeme erlangen.
Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Da das Bestehen einer Lücke nun öffentlich bekannt ist, und in limitiertem Umfang auch bereits gezielte Attacken durchgeführt werden, ist anzunehmen, dass sich diverse Akteure nun darauf konzentrieren werden, und entsprechend ist bald mit grossflächigen Kampagnen, die diese Lücke auszunutzen versuchen, zu rechnen.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:
  • Adobe Flash Player 18.0.0.161 und ältere Versionen für Microsoft Windows und Mac OSX
  • Adobe Flash Player 13.0.0.292 und ältere 13.x Versionen für Microsoft Windows und Mac OSX
  • Adobe Flash Player 11.2.202.466 und ältere Versionen für Linux

Abhilfe

Adobe hat für Benutzer mit aktivierter automatischer Aktualisierung Updates veröffentlicht, welche die Lücke schließen. Standalone-Updates sowie Updates für die betroffenen Versionen von Google Chrome und Internet Explorer stehen ebenfalls zur Verfügung.

Generell empfehlen wir auch, wo möglich, für alle Arten von Browser-Plugins auf "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen.

Sollten wir zu einem späteren Zeitpunkt über mehr Informationen verfügen, werden wir diese Warnung entsprechend updaten - die aktuelle Version ist immer via https://cert.at/ abrufbar.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Adobe Security Bulletin
https://helpx.adobe.com/security/products/flash-player/apsb15-14.html
CVE-2015-3113
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3113