2. Update: Erneut "Zero-Day"-Sicherheitslücke in Adobe Flash Player - Patches jetzt verfügbar

11. Juli 2015

Update 14. Juli 2015
Update 17. Juli 2015

Beschreibung

Wie Adobe gestern bekannt gab, gibt es erneut eine als "kritisch" eingestufte Sicherheitslücke in Adobe Flash Player.

Ein fertiger Exploit für dieses Problem ist öffentlich verfügbar, und es ist daher anzunehmen, dass dieser zeitnah von diversen Akteuren ausgenützt werden wird (Exploit Kits, Drive-By Downloads, Links in Spam-Mails und so weiter).

CVE-Nummer: CVE-2015-5122.

Update 14. Juli 2015

In einem Update des Security Advisory gab Adobe eine weitere kritische Sicherheitslücke im Flash Player (CVE-Nummer: CVE-2015-5123) bekannt.

Auswirkungen

Durch Ausnutzen dieser Lücke kann ein Angreifer vermutlich vollständige Kontrolle über betroffene Systeme erlangen.
Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:
  • Adobe Flash Player 18.0.0.203 und ältere Versionen für Microsoft Windows und Mac OSX
  • Adobe Flash Player 18.0.0.204 und frühere Versionen für Linux, die mit Google Chrome installiert wurden
  • Adobe Flash Player "Extended Support Release" 13.0.0.302 und ältere 13.x Versionen für Microsoft Windows und Mac OSX
  • Adobe Flash Player "Extended Support Release" 11.2.202.481 und ältere Versionen für Linux

Abhilfe

Adobe hat angekündigt, nächste Woche entsprechende Updates zur Verfügung zu stellen.

Bis dahin empfehlen wir dringend, den Adobe Flash Player zu deaktivieren.
Wo dies nicht möglich ist, sollte auf "Click-To-Play" Funktionen von Internet Browsern zurückgegriffen werden, und nur vertrauenswürdigen Webseiten das Abspielen von Flash Content erlaubt werden.

Grundsätzlich empfehlen wir auch, wo möglich, für alle Arten von Browser-Plugins auf solche "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen.

Sollten wir zu einem späteren Zeitpunkt über mehr Informationen verfügen, werden wir diese Warnung entsprechend updaten - die aktuelle Version ist immer via https://cert.at/ abrufbar.

Update 14. Juli 2015

Adobe hat nun entsprechende Updates veröffentlicht, siehe Adobe Security Bulletin APSB15-18.

Achtung: Für die betroffenen Linux-Versionen (11.2.202.481 und älter) des Adobe Flash Players gibt es noch keine Aktualisierung - sie soll im Laufe dieser Woche erscheinen.

Wir empfehlen in jedem Fall - auch bei aktiviertem "automatische Updates" - zu prüfen, ob das Update erfolgreich war. Zur Prüfung der installierten Version von Flash Player stellt Adobe eine eigene Webseite zur Verfügung.

Da Adobe mit der auf der üblichen Downloadseite bereitgestellten Version unter Umständen auch potentiell unerwünschte andere Software mitinstalliert, empfehlen wir, die aktualisierte Version des Flash Players von hier zu beziehen: https://www.adobe.com/products/flashplayer/distribution3.html.


Update 17. Juli 2015

Von Adobe wurden nun auch Updates des Flash Players für Linux sowie für die "Extended Support Release" (Version 13.x) auf Windows und OSX veröffentlicht: https://helpx.adobe.com/security/products/flash-player/apsb15-18.html.
Siehe dazu auch diesen Blog-Post von Adobe.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Adobe Security Bulletin APSA15-04 (englisch)
https://helpx.adobe.com/security/products/flash-player/apsa15-04.html
Adobe Security Bulletin APSB15-18 (englisch)
https://helpx.adobe.com/security/products/flash-player/apsb15-18.html