Dipl.-Inform. Carsten Eilers

Adobe warnt vor eine kritischen Schwachstelle im Flash Player (CVE-2016-4117), die das Ausführen von Code erlaubt und bereits für Angriffe ausgenutzt wird. Ein Patch wurde für das monatliche Update angekündigt, das am 12. Mai erscheinen soll. Weitere Informationen liegen zur Zeit nicht vor.

Update 12. Mai:
Adobe hat das Update veröffentlicht. Das zugehörige Security Bulletin (das noch 24 weitere Schwachstellen aufführt) ist in der Tat das von Microsoft verlinkte APSB16-15 (siehe unten).
Da Microsoft in seinem Bulletin die CVE-ID der 0-Day-Schwachstelle nicht aufgeführt hat bleibt wohl nur die Hoffnung, dass der Patch trotzdem in Microsofts Update vom Dienstag enthalten ist. Verlassen würde ich mich darauf aber nicht. Und Sie sollten es besser auch nicht, so dass der von Microsoft vorgeschlagene Workaround angebracht erscheint: Den Flash Player ausschalten. Das schützt zuverlässig vor jedem, auch zukünftigen, 0-Day-Exploit. Und der wird mit Sicherheit nicht lange auf sich warten lassen.
Ende des Updates

Update 13. Mai:
Microsoft hat das Security Bulletin MS16-064 für den in IE und Edge integrierten Flash Player sowie das zugehörige Update aktualisiert. Erst jetzt ist auch der Patch für die 0-Day-Schwachstelle enthalten!
Falls Sie das Update bereits installiert haben, müssen Sie es nun erneut installieren. Falls Sie es noch nicht installiert haben, ist es nun höchste Zeit. Wer weiß, wie lange es noch dauert, bis der Exploit im Rahmen "normaler" Drive-by-Infektionen eingesetzt wird.
Ende des Updates

Microsoft hat am Mai-Patchdays mehrere 0-Day-Schwachstellen behoben:

0-Day-Exploit für den IE unterwegs

Los geht es mit dem Bulletin MS16-051 für den Internet Explorer. Das bringt uns Patches für fünf Schwachstellen, und je eine davon wird bereits für Angriffe ausgenutzt bzw. ist öffentlich bekannt.

Die Schwachstelle mit der CVE-ID CVE-2016-0189 wird als "Scripting Engine Memory Corruption Vulnerability" beschrieben und erlaubt das Ausführen eingeschleusten Codes. Wovon die Cyberkriminellen bereits "in the Wild" Gebrauch machen. Weitere Informationen gibt es bisher nicht, es ist noch nicht mal bekannt, ob sich Microsoft bei irgend jemanden für die Meldung der Schwachstelle bedankt, denn zur Zeit ist die "Acknowledgments"-Seite noch nicht aktualisiert.

Update 11. Mai:
Die "Acknowledgments"-Seite ist aktualisiert, Microsoft bedankt sich bei niemanden für die Meldung der Schwachstelle.
Symantec berichtet, dass der Exploit für gezielte Angriffe in Südkorea eingesetzt wurde. Der Exploit wurde auf Websites entdeckt, so dass er entweder für Spear Phishing oder Wasserloch-Angriffe verwendet wurde. Gegen welche Benutzergruppen der Angriff gerichtet war wird nicht berichtet.
Ende des Updates

Auch über die Schwachstelle mit der CVE-ID CVE-2016-0188, die bisher "nur" öffentlich bekannt ist, aber noch nicht ausgenutzt wird, ist nichts weiter bekannt. Die Schwachstelle befindet sich in der User Mode Code Integrity (UMCI) Komponente von Device Guard und erlaubt es, unsignierten Code auszuführen, der eigentlich blockiert werden müsste.

0-Day-Exploit für JScript oder VBScript unterwegs

Die nächste bereits für Angriffe ausgenutzte Schwachstelle bringt das Bulletin MS16-053 ans Licht, das Updates für die JScript- und VBScript-Scripting-Engines betrifft. Zum Glück ist es aber die gleiche Schwachstelle wie im IE, CVE-2016-0189. Es bleibt also bei einem 0-Day-Exploit.

0-Day-Schwachstelle in TSL/SSL-Implementierung des .NET Framework

Es gibt aber eine zweite 0-Day-Schwachstelle: CVE-2016-0149, beschrieben im Bulletin MS16-065. Ein MitM kann unter Umständen SSL/TLS-verschlüsselte Daten entschlüsseln. Dazu muss er zuerst unverschlüsselte Daten in den verschlüsselten Kanal einschleusen. Mehr verrät der für weitere Informationen zuständige Knowledge-Base-Artikel leider auch nicht.

Microsoft liefert Flash-Player-Updates aus

Das als kritisch eingestufte Security Bulletin MS16-064 liefert die aktuellen Adobe-Patches für die in Internet Explorer 10 und 11 sowie Microsoft Edge enthaltene Version des Flash Players. Die Frage ist nur, welche Updates das genau sind. Das von Microsoft verlinkte Adobe-Bulletin APSB16-15 gibt es nicht. Vermutlich noch nicht, denn heute wurden von Adobe die Security Bulletins APSB16-14 für Adobe Acrobat und Reader und APSB16-16 für ColdFusion veröffentlicht. Demnach dürfte APSB16-15 das kommende Bulletin für den Flash Player sein. Dann muss Microsoft aber noch mal nachbessern, denn in Microsofts Auflistung der CVE-IDs ist die aktuelle 0-Day-Schwachstelle von oben nicht enthalten, die Liste endet mit CVE-2016-4116.

Jede Menge Arbeit

Da gibt es mal wieder einiges zu tun. Außer den bereits für Angriffe ausgenutzten Schwachstellen wurden von Microsoft und Adobe ja auch noch viele weitere, noch nicht ausgenutzte Schwachstellen behoben. Sie sollten die als kritisch eingestuften Updates so schnell wie möglich installieren, bevor die Cyberkriminellen anfangen, einige der Schwachstellen auszunutzen.

Für den Flash Player gibt es zwar noch kein Update, dafür eine viel sicherere Lösung: Weg mit dem Ding! Entweder komplett, wenn er als Stand-alone-Version installiert ist, oder durch Deaktivieren der in IE und Edge integrierten Version, was Microsoft im Security Bulletin beschreibt. Denn die Übersicht über die 0-Day-Exploits für 2015 (9 von 18 0-Day-Exploits betreffen den Flash Player) und 2016 (3 von 4 0-Day-Exploits betreffen den Flash Player) sprechen eine deutliche Sprache: Der Flash Player ist führend beim Anziehen von 0-Day-Exploits. Wenn wir einen IT-Gesundheitsminister hätten würde auf dem Installer des Flash Players bestimmt schon die Warnung "Der Flash Player gefährdet die Sicherheit Ihres Rechners" stehen!

Carsten Eilers