Deutsch | English

Mehrere kritische Sicherheitslücken in Adobe Flash Player, AIR, Flash Media Server und ColdFusion

11. August 2010

Beschreibung

Wie Adobe berichtet, gibt es eine ganze Reihe an sicherheitsrelevanten Lücken in den aktuellen Versionen von Flash Player, AIR und Flash Media Server, die es einem Angreifer ermöglichen könnten, ein System zu übernehmen, sowie ein Problem mit Directory Traversal und dem unbeabsichtigten Preisgeben von Informationen mit ColdFusion.

Auswirkungen

Mehrere dieser Lücken bieten laut Adobe die Möglichkeit zu Remode Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen. Die beschriebene Lücke in ColdFusion bezieht sich auf Directory Traversal und das unbeabsichtigte Preisgeben von Informationen.

Speziell, da sich Flash-Dateien auch einfach in Webseiten integrieren lassen, erwartet CERT.at, dass bald entsprechend präparierte Webseiten und Links darauf etwa per Spam-Mail verteilt werden. Flash Player verfügt zwar über eine automatische Update-Funktion, diese sucht in der Default-Einstellung allerdings nur alle 7 Tage, ob etwaige neue Versionen zur Verfügung stehen.

Betroffene Systeme

Systeme, auf denen folgende Software von Adobe installiert ist:
  • Adobe Flash Player bis inkl. Version 10.1.53.64, für Windows, Macintosh, Linux und Solaris
  • Adobe AIR bis inkl. Version 2.0.2.12610, fü Windows, Macintosh und Linux
  • Adobe Flash Media Server bis inkl. Version 3.5.3 bzw. 3.0.5, fü Windows und Unix
  • Adobe ColdFusion bis inkl. Versionen 8.0, 8.0.1, 9.0 bzw. 9.0.1

Abhilfe

Upgrade auf die jeweils aktuellen Versionen, Details bitte den jeweiligen Warnings von Adobe zu entnehmen:

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Meldung von Adobe zu Flash Player und AIR (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-16.html
Meldung von Adobe zu Flash Media Server (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-19.html
Meldung von Adobe zu ColdFusion (englisch)
http://www.adobe.com/support/security/bulletins/apsb10-18.html
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Lücke in verbreiteter Webshop-Software Magento - keine Updates verfügbar
14. April 2017 | Wie ...
Update: Kritische Lücke in Microsoft Office ermöglicht Remote Code Execution - Patches nun verfügbar
10. April 2017 | Update ...
mehr ...
StringBleed ist kein zweites Heartbleed
27. April 2017 | Es wird ...
Wartungsarbeiten Donnerstag, 20. 4. 2017
18. April 2017 | Am Donnerstag ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/7/17 - 17:00:09
Haftungsausschluss