Kritische Sicherheitslücken in Adobe Flash Player/Libraries - Patches nun auch für Microsoft Browser verfügbar

22. Februar 2017

Beschreibung

Adobe hat letzte Woche (14. 2. 2017) im Rahmen des monatlichen "Patch-Day" Informationen zu Sicherheitslücken veröffentlicht und für die eigenen Produkte Updates zur Verfügung gestellt.

Microsoft hat nun bekanntgegeben, dass es jetzt "Out-of-band"-Patches für die von den diesen Flash-Problemen betroffenen Microsoft Internet Browser (diese integrieren anfällige Versionen von Adobe Libraries) gibt.

Dies betrifft folgende CVE-Nummern: CVE-2017-2982, CVE-2017-2984, CVE-2017-2985, CVE-2017-2986, CVE-2017-2987, CVE-2017-2988, CVE-2017-2990, CVE-2017-2992, CVE-2017-2991, CVE-2017-2993, CVE-2017-2994, CVE-2017-2995, CVE-2017-2996

Auswirkungen

Durch Ausnützen dieser Lücken kann ein Angreifer laut Adobe und Microsoft die Kontrolle über betroffene Systeme übernehmen.
Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Betroffene Systeme

Systeme, auf denen Internet Browser (Internet Explorer 10, Internet Explorer 11 sowie Microsoft Edge) von Microsoft installiert sind, auf folgenden Betriebssystemen:
  • Windows 8.1
  • Windows Server 2012 und Windows Server 2012 R2
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2016

Abhilfe

Installieren der zur Verfügung gestellten Patches.

Microsoft gibt auch Hinweise, wie man das Ausführen von Flash-Inhalten blockieren kann (sowohl lokal via Registry als auch via Gruppenrichtlinien).

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, für alle Arten von Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen, sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Adobe Security Advisory APSB17-04 vom 14. 2. 2017 (englisch)
https://helpx.adobe.com/security/products/flash-player/apsb17-04.html
Microsoft Security Bulletin MS17-005
https://technet.microsoft.com/de-de/library/security/MS17-005