Ein 0-Day-Exploit für den Flash Player zum Jahresabschluss
Adobe hat außer der Reihe ein Sicherheitsupdate für den Flash Player veröffentlicht. Oder genauer: Das Januar-Update vorgezogen, wie man an der Nummerierung des Security Bulletins (APSB16-01) leicht erkennen kann. Der Grund: Es gibt mal wieder einen 0-Day-Exploit, der im Rahmen gezielter Angriffe eingesetzt wird. So spontan drängt sich mir die Frage auf, wer denn da angegriffen wird, wenn man "zwischen den Jahren" ein außerplanmäßiges Update veröffentlicht.
Die ausgenutzte Schwachstelle CVE-2015-8651 ist eine Integerüberlauf-Schwachstelle, wie sie genau ausgenutzt wird, ist nicht bekannt. Aber das ist ja eigentlich auch egal, es reicht ja, wenn man weiß, dass mal wieder Flash-Inhalte Träger des Exploits sind.
Leider habe ich das Security Bulletin zu spät aufgerufen, so dass ich nicht weiß, bei wem Adobe sich für die Meldung der Schwachstelle bedankt hat. Jetzt steht da nur noch
"Revisions
December 29, 2015: Removed the acknowledgment for CVE-2015-8651. "
Die Seite ist leider weder in Googles Cache noch in der WayBack Machine enthalten. Zumindest Symantec war es nicht, denn da weiß man auch nur das, was im Security Bulletin von Adobe steht. Mal sehen, ob noch Informationen über die Angriffe durchsickern, aber eigentlich rechne ich nicht damit. Es arbeitet ja kaum jemand.
Weg damit!
Adobe hat gerade erst angekündigt, den Flash Player sicherer gemacht zu haben. Für das Programm, dass für die Hälfte der 0-Day-Exploits im Jahr 2015 verantwortlich ist, reicht das wohl nicht aus.
Da hilft nur noch eins: Weg damit. Flash braucht man doch sowieso schon lange nicht mehr. Die Smartphones kommen doch auch ohne aus, hat sich da schon mal irgend wer beschwert, dass eine Website nicht funktioniert? Also: Weg mit Flash, denn HTML5 und dessen Nachfolgern gehört sowieso die Zukunft! Für die Webentwickler hat das auch noch den Vorteil, dass sie nicht mehr zwei Versionen einer Website (für den Desktop mit Flash, für die Mobilanwender ohne) pflegen müssen.
Ach ja, der Vollständigkeit halber noch die Statistik der 0-Day-Exploits im Jahr 2015:
Programm | 0-Day-Exploits in 2015 |
|
---|---|---|
Flash Player | 9 |
21.1. - CVE-2015-0311 2.2. - CVE-2015-0313 14.4. - CVE-2015-3043 23.6. - CVE-2015-3113 7.7. - CVE-2015-5119 10.7. - CVE-2015-5122 11.7. - CVE-2015-5123 13.10. - CVE-2015-7645 29.12. - CVE-2015-8651 |
Microsoft Office | 5 |
14.4. - CVE-2015-1641 14.7. - CVE-2015-2424 11.8. - CVE-2015-1642 8.9. - CVE-2015-2545 8.12. - CVE-2015-6124 |
Internet Explorer | 3 |
14.7. - CVE-2015-2419 14.7. - CVE-2015-2425 18.8. - CVE-2015-2502 |
Java (Browser-PlugIn) | 1 | 11.7. - CVE-2015-2590 |
Wer hat uns verraten? SozialdeAdobe!
Trackbacks