CH azonosító
CH-13323Angol cím
Adobe Flash Player vulnerabilityFelfedezés dátuma
2016.06.13.Súlyosság
KritikusÉrintett rendszerek
AdobeFlash Player
Érintett verziók
Adobe Flash Player 21.0.0.242 (és megelőző verziók)
Adobe Flash Player Extended Support Release 18.0.0.352 (és megelőző verziók)
Adobe Flash Player for Google Chrome 21.0.0.242 (és megelőző verziók)
Adobe Flash Player for Microsoft Edge és Internet Explorer 11 21.0.0.242 (és megelőző verziók)
Adobe Flash Player for Linux 11.2.202.621 (és megelőző verziók)
Összefoglaló
Az Adobe Flash Player kritikus sérülékenysége került nyilvánosságra, amelyet kihasználva a támadók az érintett rendszer összeomlását idézhetik elő és átvehetik az irányítást a fertőzött számítógép felett.
Leírás
A gyártó mindeddig nem részletezte a hibát, biztonsági közleményükben mindössze annyi információ szerepel, hogy a Flash Player ezen sérülékenységét aktívan kihasználják és a javítás 2016.06.16-án várható.
A biztonsági rést felfedező Kaspersky Lab információi szerint a célzott támadások egy viszonylag új csoporthoz (ScarCruft) köthetőek, akik 2016 márciusa óta már két kampányt is indítottak Adobe Flash Player-t és Microsoft Internet Explorer-t érintő sérülékenységek kihasználására.
UPDATE 2016.06.16.:
A gyártó megjelentette a frissítést (lásd: ‘Megoldás’), ami további kritikus sérülékenységeket is megszüntet.
Megoldás
- Adobe Flash Player Desktop Runtime 22.0.0.192 (Windows, Macintosh, Linux, és Chrome OS alatt)
- Adobe Flash Player Extended Support Release 18.0.0.360 (Windows, Macintosh)
- Adobe Flash Player for Google Chrome 22.0.0.192 (Windows, Macintosh, Linux és ChromeOS)
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11 22.0.0.192 (Windows 10 és 8.1)
- Adobe Flash Player for Linux 11.2.202.626 (Linux)
A Kaspersky Lab a Microsoft EMET használatát javasolja megkerülő megoldás gyanánt, valamint saját védelmi terméküket.
Támadás típusa
Privilege escalation (jogosultság kiterjesztés)Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: helpx.adobe.com
Gyártói referencia: blogs.adobe.com
Gyártói referencia: helpx.adobe.com
Egyéb referencia: securelist.com
CVE-2016-4171 - NVD CVE-2016-4171
CVE-2016-4122 - NVD CVE-2016-4122
CVE-2016-4123 - NVD CVE-2016-4123
CVE-2016-4124 - NVD CVE-2016-4124
CVE-2016-4125 - NVD CVE-2016-4125
CVE-2016-4127 - NVD CVE-2016-4127
CVE-2016-4128 - NVD CVE-2016-4128
CVE-2016-4129 - NVD CVE-2016-4129
CVE-2016-4130 - NVD CVE-2016-4130
CVE-2016-4131 - NVD CVE-2016-4131
CVE-2016-4132 - NVD CVE-2016-4132
CVE-2016-4133 - NVD CVE-2016-4133
CVE-2016-4134 - NVD CVE-2016-4134
CVE-2016-4135 - NVD CVE-2016-4135
CVE-2016-4136 - NVD CVE-2016-4136
CVE-2016-4137 - NVD CVE-2016-4137
CVE-2016-4138 - NVD CVE-2016-4138
CVE-2016-4139 - NVD CVE-2016-4139
CVE-2016-4140 - NVD CVE-2016-4140
CVE-2016-4141 - NVD CVE-2016-4141
CVE-2016-4142 - NVD CVE-2016-4142
CVE-2016-4143 - NVD CVE-2016-4143
CVE-2016-4144 - NVD CVE-2016-4144
CVE-2016-4145 - NVD CVE-2016-4145
CVE-2016-4146 - NVD CVE-2016-4146
CVE-2016-4147 - NVD CVE-2016-4147
CVE-2016-4148 - NVD CVE-2016-4148
CVE-2016-4149 - NVD CVE-2016-4149
CVE-2016-4150 - NVD CVE-2016-4150
CVE-2016-4151 - NVD CVE-2016-4151
CVE-2016-4152 - NVD CVE-2016-4152
CVE-2016-4153 - NVD CVE-2016-4153
CVE-2016-4154 - NVD CVE-2016-4154
CVE-2016-4155 - NVD CVE-2016-4155
CVE-2016-4156 - NVD CVE-2016-4156
CVE-2016-4166 - NVD CVE-2016-4166
CVE-2016-4171 - NVD CVE-2016-4171