Kaspersky-Zero-Day-Warnung - Anwender sollten umgehend alle genutzten Versionen des Adobe Flash Player aktualisieren
Moskau/lngolstadt, 28. April 2014 – Kaspersky Lab konnte mit Hilfe seines heuristischen Entdeckungssystems erfolgreich Zero-Day-Attacken (1) über die Adobe Flash-Software blockieren. Die Schwachstelle wurde über Exploits angegriffen, die über eine legitime Regierungswebseite (Syrian Ministry of Justice) verbreitet wurden, über die öffentliche Klagen zu Gesetzesverletzungen eingereicht werden konnten. Kaspersky Lab geht davon aus, dass es die Zero-Day-Schwachstelle auf syrische Regimekritiker abgesehen hat. Internetanwender sollten generell alle eingesetzten Versionen der Software Adobe Flash Player aktualisieren.
Denn mit Bekanntwerden der Schwachstelle könnten Cyberkriminelle das Exploit für ihre Zwecke reproduzieren und ausnutzen. Bis alle betroffenen Anwender die Software-Lücke geschlossen haben, könnte noch einige Zeit vergehen. Nutzer können auf der Webseite von Adobe bereits einen entsprechenden Patch (2) zur Beseitigung der Schwachstelle herunterladen. Die CVE-Nummer (Common Vulnerabilities and Exposures) der Schwachstelle lautet CVE-2014-0515.
Hier die Übersetzung des Adobe Security Bulletins:
****************************************************************************
Sicherheitsupdates für den Adobe Flash Player verfügbar
Veröffentlichungsdatum: 28. April 2014
Schwachstellen-Identifikationsnummer: APSB14-13
Priorität: Siehe nachfolgende Tabelle
CVE-Nummer: CVE-2014-0515
Betroffene Betriebssysteme: Alle Betriebssysteme
Zusammenfassung
Adobe hat Sicherheitsupdates für den Adobe Flash Player 13.0.0.182 (und frühere Versionen) für das Windows Betriebssystem, für den Adobe Flash Player 13.0.0.201 (und frühere Versionen) für Macintosh Betriebssysteme und für den Adobe Flash Player 11.2.202.350 (und frühere Versionen) für Linux Betriebssysteme veröffentlicht. Diese Updates betreffen Schwachstellen, die möglicherweise einem Angreifer die Kontrolle über ein anfälliges System gestatten.
Adobe sind Berichte über das aktive Ausnutzen der CVE-2014-0515 Schwachstelle im Internet übermittelt worden, bei denen Flash Player Nutzer auf Windows Betriebssystemen das Angriffsziel waren. Adobe empfiehlt allen Flash Player Nutzern die Flash Player Installationen auf ihren Rechnern auf die neueste Version upzudaten:
- Nutzer des Adobe Flash Player 13.0.0.182 (und früheren Versionen) für das Windows Betriebssystem sollten auf den Adobe Flash Player 13.0.0.206 aktualisieren.
- Nutzer des Adobe Flash Player 13.0.0.201 (und früheren Versionen) für das Macintosh Betriebssystem sollten auf den Adobe Flash Player 13.0.0.206 aktualisieren.
- Nutzer des Adobe Flash Player 11.2.202.350 (und früheren Versionen) für Linux Betriebssysteme sollten auf den Adobe Flash Player 11.2.202.356 aktualisieren.
- Der Adobe Flash Player 13.0.0.182, der zusammen mit Google Chrome installiert wird, wird beim Update auf die aktuellste Google Chrome Version automatisch auf die Adobe Flash Player 13.0.0.206 für Windows, Macintosh und Linux Betriebssysteme aktualisiert.
- Der Adobe Flash Player 13.0.0.182, der zusammen mit dem Internet Explorer 10 Browser installiert wird, wird beim Update auf die aktuellste Internet Explorer 10 Version automatisch auf die Adobe Flash Player 13.0.0.206 Version für Windows 8.0 aktualisiert.
- Der Adobe Flash Player 13.0.0.182, der zusammen mit dem Internet Explorer 11 Browser installiert wird, wird beim Updates auf die aktuellste Internet Explorer 11 Version automatisch auf die Adobe Flash Player 13.0.0.206 Version für Windows 8.1 aktualisiert.
Betroffene Software-Versionen:
- Adobe Flash Player 13.0.0.182 (und frühere Versionen) für Windows Betriebssysteme
- Adobe Flash Player 13.0.0.201 (und frühere Versionen) für Macintosh Betriebssysteme
- Adobe Flash Player 11.2.202.350 (und frühere Versionen) für Linux Betriebssysteme
Um die installierte Version des Adobe Flash Players auf ihrem System zu überprüfen, rufen Sie die „About Flash Player“ Webseite auf ODER klicken Sie mit der rechten Maustaste auf Inhalte, die mit dem Flash PLayer abgespielt werden und wählen „Über Adobe (oder Macromedia) Flash Player“ aus dem Menü aus. Wenn Sie mehrere Browser auf ihrem Computer verwenden, dann führen Sie bitte die Überprüfung für JEDEN Browser auf ihrem Computer aus.
Lösung
Adobe empfiehlt allen Nutzern ihre Flash Player Installationen mit Hilfe der folgenden Anweisungen zu aktualisieren:
- Adobe empfiehlt allen Nutzern der Adobe Flash Player 13.0.0.182 Version (oder früheren Versionen) für Windows Betriebssysteme auf die neueste Version 13.0.0.206 durch einen Download der neuesten Version im Adobe Flash Player Download Center ODER durch Zustimmung zur Aktualisierung des Adobe Flash Players wenn der automatische Updatehinweis erscheint zu aktualisieren.
- Adobe empfiehlt allen Nutzern der Adobe Flash Player 13.0.0.201 Version (oder früheren Versionen) für Macintosh Betriebssysteme auf die neueste Version 13.0.0.206 durch einen Download der neuesten Version im Adobe Flash Player Download Center ODER durch Zustimmung zur Aktualisierung des Adobe Flash Players wenn der automatische Updatehinweis erscheint zu aktualisieren.
- Adobe empfiehlt allen Nutzern der Adobe Flash Player 11.2.202.350 Version (oder früheren Versionen) für Linux Betriebssysteme auf die neueste Version 11.2.202.356 durch einen Download der neuesten Version im Adobe Flash Player Download Center zu aktualisieren.
- Für die Nutzer der Flash Player Version 11.7.700.275 (und früheren Versionen) für Windows und Macintosh Betriebssysteme, die ihre Version NICHT auf die aktuelle Flash Player Version 13.0.0.206 aktualisieren können, hat Adobe eine spezielle Flash Player Update Version 11.7.700.279* bereitgestellt, die HIER heruntergeladen werden kann.
- Der Adobe Flash Player 13.0.0.182, der zusammen mit Google Chrome installiert wird, wird beim Update auf die aktuellste Google Chrome Version automatisch auf die Adobe Flash Player 13.0.0.206 für Windows, Macintosh und Linux Betriebssysteme aktualisiert.
- Der Adobe Flash Player 13.0.0.182, der zusammen mit dem Internet Explorer 10 Browser installiert wird, wird beim Update auf die aktuellste Internet Explorer 10 Version automatisch auf die Adobe Flash Player 13.0.0.206 Version für Windows 8.0 aktualisiert.
- Der Adobe Flash Player 13.0.0.182, der zusammen mit dem Internet Explorer 11 Browser installiert wird, wird beim Updates auf die aktuellste Internet Explorer 11 Version automatisch auf die Adobe Flash Player 13.0.0.206 Version für Windows 8.1 aktualisiert.
* Ab dem 13. Mai 2014 wird die neue Adobe Flash Player Version 13 für Mac und Windows Betriebssysteme die bisherige Version 11.7 als erweiterte Support Version ablösen. Adobe empfiehlt allen Nutzern ab Verfügbarkeit der Version 13 auf diese Version zu migrieren, um zukünftige IT-Sicherheitsupdates zu erhalten. Weitere Details finden sich in diesem englischen Blog-Beitrag: http://blogs.adobe.com/flashplayer/2014/03/upcoming-changes-to-flash-players-extended-support-release.html
Adobe kategorisiert diese Updates mit den folgenden Prioritätsgraden und empfiehlt allen Nutzern auf die neueste Version zu aktualisieren:
Produkt |
Update Version |
Plattform |
Prioritätseinstufung |
Adobe Flash Player |
13.0.0.206 |
Windows und Macintosh |
1 |
13.0.0.206 |
Internet Explorer 10 für Windows 8 |
1 |
|
13.0.0.206 |
Internet Explorer 11 für Windows 8.1 |
1 |
|
13.0.0.206 |
Chrome für Windows, Macintosh und Linux |
1 |
|
11.7.700.279 |
Windows und Macintosh |
1 |
|
11.2.202.356 |
Linux |
3 |
Die Updates schließen eine kritische Schwachstelle innerhalb der Software.
….
Diese Updates beheben eine Schwachstelle, die einen Speicherüberlauf auf einem betroffenen System auslösen und so eine potentielle Infektion mit gefährlichem Code nach sich ziehen kann.
Betroffene Software |
Empfohlenes Flash Player Update |
Verfügbarkeit |
Flash Player 13.0.0.182 (und frühere Versionen) für Windows |
13.0.0.206 |
|
Flash Player 13.0.0.201 (und frühere Versionen) für Macintosh |
13.0.0.206 |
|
Flash Player 13.0.0.182 (und frühere Versionen) für Windows (Netzwerk Distribution) |
13.0.0.206 |
|
Flash Player 13.0.0.201 (und frühere Versionen) für Macintosh (Netzwerk Distribution) |
13.0.0.206 |
|
Flash Player 11.2.202.350 (und frühere Versionen) für Linux |
11.2.202.356 |
|
Flash Player 13.0.0.182 (und frühere Versionen) für Chrome (Windows, Macintosh und Linux) |
13.0.0.206 |
|
Flash Player 13.0.0.182 (und frühere Versionen) für den Internet Explorer 10 für Windows 8.0 |
13.0.0.206 |
|
Flash Player 13.0.0.82 (und frühere Versionen) für den Internet Explorer 11 für Windows 8.1 |
13.0.0.206 |
Danksagung
Adobe möchte sich bei Herrn Alexander Polyakov von Kaspersky Labs für die Übermittlung der Informationen zu CVE-2014-0515 und für die Zusammenarbeit mit Adobe zum Schutz der Kunden bedanken.
*********************************************************************************
(1) http://de.wikipedia.org/wiki/Exploit#Zero-Day-Exploit
(2) http://helpx.adobe.com/security/products/flash-player/apsb14-13.html
Über Kaspersky Lab
Kaspersky Lab ist der weltweit größte, privat geführte Anbieter von Endpoint-Sicherheitslösungen. Das Unternehmen zählt zu den vier erfolgreichsten Herstellern von Sicherheitslösungen für
Endpoint-Nutzer. In seiner über 16-jährigen Unternehmensgeschichte hat Kaspersky Lab zahlreiche Innovationen im Bereich IT-Sicherheit auf den Weg gebracht und bietet effektive digitale Sicherheitslösungen für Großunternehmen, KMU und Heimanwender. Kaspersky Lab, mit Holding in Großbritannien, ist derzeit in rund 200 Ländern auf der ganzen Welt vertreten und schützt über 300 Millionen Nutzer weltweit. Weitere Informationen zu Kaspersky Lab finden Sie unter http://www.kaspersky.com/de/.