Deutsch | English

Mehrere kritische Sicherheitslücken in Adobe Shockwave Player

18. Dezember 2012

Beschreibung

Das US-CERT meldet mehrere Schwachstellen in Adobe Shockwave Player:
  • Shockwave Player anfällig für Downgrade-Attacken

    Wenn eine Webseite nicht angibt, die aktuelle Shockwave-Version 11 zu benötigen, dann wird die alte Version 10 installiert. Diese enthält mehrere bekannte Schwachstellen, für die auch teilweise Exploits verfügbar und verbreitet sind.
  • Shockwave Player installiert alte Version von Flash Player

    Shockwave Player benutzt nicht die systemweit installierte Version des Flash Players, sondern bringt eine "eingebaute" mit - diese ist allerdings veraltet und es existieren eine Reihe von bekannten Verwundbarkeiten für diese (Meldungen von CERT.at zu Adobe Flash Player).
  • Shockwave Player installiert "Xtras" ohne Rückfrage

    Wenn Shockwave-Content Funktionen aus sogenannten "Xtras" benutzt, die noch nicht am System vorhanden sind, so werden diese automatisch nachinstalliert, wenn sie signiert sind. Der Ort, von dem diese "Xtras" heruntergeladen werden, ist allerdings im Shockwave Inhalt definiert - ein Angreifer kann so unter Umständen dafür sorgen, dass alte Versionen dieser "Xtras" installiert werden und dann deren Verwundbarkeiten ausnutzen.

Auswirkungen

Für alte Versionen von Adobe Flash Player sind eine ganze Reihe an bekannten Verwundbarkeiten und darauf aufbauenden Exploits für unter anderem Remote Code Execution bekannt. Wir erwarten, dass bald entsprechend präparierte Webseiten auftauchen und URLs darauf etwa per Spam-Mail verteilt werden.

Betroffene Systeme

Systeme, auf denen Adobe Shockwave Player (Version 11.6.8.368 oder früher) installiert oder installierbar ist, auf Microsoft Windows und Apple Betriebssystemen.

Abhilfe

Bis zum Erscheinen entsprechend gefixter Versionen von Adobe Shockwave Player können die folgenden Massnahmen helfen, die Auswirkungen dieser Schwachstellen zu begrenzen: Detailliertere Beschreibungen finden sich in den Meldungen des US-CERT (englisch, Links s.u.).

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Meldung des US-CERT zum Downgrade-Problem (englisch)
http://www.kb.cert.org/vuls/id/546769
Meldung des US-CERT zum Problem mit veralteter Flash Player-Version (englisch)
http://www.kb.cert.org/vuls/id/323161
Meldung des US-CERT zum Problem mit veralteten "Xtras" (englisch)
http://www.kb.cert.org/vuls/id/519137
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücken in Adobe Flash Player/Libraries - Patches nun auch für Microsoft Browser verfügbar
22. Februar 2017 | Beschreibung Adobe ...
Update: Kritische Lücke in Microsoft Windows ermöglicht DoS / Remote Code Execution via SMB - Updates nun verfügbar
3. Februar 2017 | ...
mehr ...
Workaround? Abdrehen!
21. März 2017 | Langsam ...
Propaganda auf Twitter
15. März 2017 | Der echte ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/7/17 - 17:00:08
Haftungsausschluss