Windows: Flash Player Update KB4287903 (7. Juni 2018)

Microsoft hat am 7. Juni 2018 ein Sicherheitsupdate KB4287903 für Flash unter Windows 8.1 bis Windows 10 freigegeben. Dieses soll eine kritische Sicherheitslücke schließen, die bereits ausgenutzt wird.


Anzeige

Die Schwachstelle ADV180014

Die von Microsoft unter ADV180014 gelistet Schwachstelle bezieht sich auf das Adobe Security Bulletin APSB18-19 mit CVE-2018-4945, CVE-2018-5000, CVE-2018-5001 und CVE-2018-5002. Adobe hatte das Update bereits vor einigen Stunden freigegeben (siehe meinen Blog-Beitrag Adobe Flash Player: Update Version 30.0.0.113).

Mögliche Angriffsszenarien

Microsoft beschreibt in ADV180014 mögliche Angriffsszenarien so:

  • In einem webbasierten Angriffsszenario, in dem der Benutzer Internet Explorer für den Desktop verwendet, könnte ein Angreifer eine Website hosten. Diese enthält eine Webseite, die zum Ausnutzen einer dieser Schwachstellen [in Flash] verwendet wird.
  • Darüber hinaus können kompromittierte Websites und Websites, die vom Benutzer bereitgestellte Inhalte oder Werbung akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, die diese Schwachstellen ausnutzen können.

In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, Benutzer zum Besuch dieser Websites zu zwingen. Stattdessen müsste ein Angreifer die Benutzer davon überzeugen, die Website zu besuchen, indem er sie dazu bringt, auf einen Link in einer E-Mail-Nachricht oder Sofortnachricht zu klicken, der die Benutzer zur Website des Angreifers führt. Also das klassische Social Engineering, um das Opfer in die Falle zu locken.

Einschränkungen unter Windows 8.x und höher

Unter Windows 8.x und höher gibt es aber noch weitere Einschränkungen: Der Internet Explorer gibt unter Windows 8.x und höher nur Flash-Inhalte von Websites wieder, die in der Liste der Kompatibilitätsansicht (CV) aufgeführt sind. Diese Einschränkung erfordert, dass ein Angreifer zuerst eine Website kompromittiert, die bereits in der CV-Liste aufgeführt ist.

Ein Angreifer könnte dann speziell gestaltete Flash-Inhalte hosten, die so konzipiert sind, dass sie jede dieser Schwachstellen über den Internet Explorer ausnutzen und dann einen Benutzer davon überzeugen, die Website anzusehen. Auch hier hat ein Angreifer keine Möglichkeit, Benutzer dazu zu zwingen, den von einem Angreifer kontrollierten Inhalt anzuzeigen. Stattdessen muss ein Angreifer die Benutzer davon überzeugen, aktive Maßnahmen zu ergreifen. In der Regel geschieht dies durch Klicken auf einen Link in einer E-Mail-Nachricht oder in einer Sofortnachricht, die den Benutzer zur Website des Angreifers führt, oder durch Öffnen eines Anhangs, der per E-Mail gesendet wird.

Outlook und Windows Live Mail

Microsoft schreibt, dass alle unterstützten Versionen von Microsoft Outlook und Windows Live Mail HTML-E-Mail-Nachrichten standardmäßig in der Zone Eingeschränkte Sites öffnen.

Die Zone “Eingeschränkte Sites” deaktiviert aber Skripts und ActiveX-Steuerelemente. Dies , reduziert das Risiko, dass ein Angreifer eine dieser Schwachstellen zur Ausführung von bösartigem Code nutzen kann. Wenn ein Benutzer auf einen Link in einer E-Mail-Nachricht klickt, kann er dennoch durch das webbasierte Angriffsszenario für die Ausnutzung einer dieser Schwachstellen anfällig sein.

Windows Server 2012 / R2


Werbung

Standardmäßig läuft der Internet Explorer unter Windows Server 2012 und Windows Server 2012 R2 in einem eingeschränkten Modus (erweiterte Sicherheitskonfiguration)wird. Dieser Modus kann dazu beitragen, die Wahrscheinlichkeit der Ausnutzung dieser Schwachstellen des Adobe Flash Players im Internet Explorer zu verringern.

Flash in IE und Office deaktivieren

Microsoft schlägt als Workaround vor, den Adobe Flash Player im Internet Explorer und anderen Anwendungen, wie Office 2007 und Office 2010, die das Kill-Bit-Feature unterstützen, zu deaktivieren. Dazu ist das das Kill-Bit für das Steuerelement in der Registrierung zu setzen.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}] "Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}] "Compatibility Flags"=dword:00000400

Die obigen Anweisung in eine Reg-Datei gespeichert und dann per Doppelklick (unter einem administrativen Konto) importiert, setzen dieses Bit. Im betreffenden Microsoft-Dokument gibt es weitere Hinweise, um den Flash Player per Gruppenrichtlinien abzuschalten.

Flash Player Update KB4287903

Das Flash Player Sicherheitsupdate KB4287903 vom 7. Juni 2018 behebt Sicherheitslücken in Adobe Flash Player für folgende Windows-Versionen:

  • Windows Server Version 1803,
  • Windows 10 Version 1803,
  • Windows Server 2016 Version 1709,
  • Windows 10 Version 1709
  • Windows 10 Version 1703
  • Windows Server 2016
  • Windows 10 Version 1607
  • Windows 10 (RTM)
  • Windows Server 2012 R2
  • Windows RT 8.1
  • Windows 8.1

Dieses Update ist über Windows Update erhältlich, kann aber auch per Microsoft Update-Katalog bezogen werden. Bei einer manuellen Installation ist das Servicing Stack Update (SSU) KB 4132216 zuerst zu installieren. Zudem gelten folgende Voraussetzungen:

  • Alle Sicherheitsupdates und nicht sicherheitsrelevanten Updates für Windows Server 2012 R2, Windows 8.1 und Windows RT 8.1 erfordern die Installation des Updates KB 2919355. Microsoft empfiehlt, das Update KB 2919355 auf dem Computer unter Windows Server 2012 R2, Windows 8.1 oder Windows RT 8.1 zu installieren, damit Sie auch in Zukunft Updates erhalten.

  • Wenn Sie nach der Installation dieses Updates ein Language Pack installieren, müssen Sie dieses Update erneut installieren. Daher wird empfohlen, alle benötigen Language Packs vor diesem Update zu installieren. Weitere Informationen finden Sie unter Hinzufügen von Language Packs zu Windows.

Weitere Hinweise sind KB4287903 und ADV180014 zu entnehmen.

Ähnliche Artikel:
Flash im Niedergang: Nur noch 4,9 % Nutzung
Adobe Flash Player Update auf Version 29.0.0.171
Microsoft Office Patchday (5. Juni 2018)
Windows 10 V1803: Update KB4338548 freigegeben
Adobe Flash Player: Update Version 30.0.0.113


Anzeige
Dieser Beitrag wurde unter Sicherheit, Update, Windows 10, Windows 8.1 abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Windows: Flash Player Update KB4287903 (7. Juni 2018)

  1. Chris sagt:

    Hallo,
    unter Windows 10 LTSB 2016 (1607) wird das Update, nachdem über WSUS freigegeben, nicht erkannt.
    Wenn per Microsoft Update-Katalog manuell heruntergeladen (2018-06 Sicherheitsupdate für Adobe Flash Player für Windows 10 Version 1607 für x64-basierte Systeme (KB4287903)) kommt beim Installieren folgende Fehlermeldung: Das Update ist nicht für ihren Computer geeignet
    Sehr seltsam!

  2. Thomas F. sagt:

    Hier wird das Update auf aktuellen Windows 10 Pro per WSUS nicht eingespielt. Da auch mein eigener PC betroffen war, habe ich die Windows Update Einstellung aufgerufen und siehe da “Sie sind auf dem neusten Stand”. Bei einer manuellen Suche wird dann das Update gefunden.

    Jetzt darf ich mich wieder einmal auf alle betroffenen Rechner aufschalten. Was ist das für ein Murks in letzter Zeit?

    Viele Grüße
    Thomas

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.