Sikkerhetsanbefaling for Flash Player | APSA18-01
Bulletin-ID Dato publisert Prioritet
APSA18-01 torsdag 1. februar 2018 1

Sammendrag

Det finnes et kritisk sikkerhetsproblem (CVE-2018-4878) i Adobe Flash Player 28.0.0.137 og tidligere versjoner. Vellykket utnytting kan gjøre det mulig for en angriper å ta kontroll over det berørte systemet.

Adobe er klar over en rapport om at CVE-2018-4878 utnyttes offentlig og brukes i begrensede og målrettede angrep mot Windows-brukere. Disse angrepene bruker Office-dokumenter med innebygd skadelig Flash-innhold som er distribuert via e-post.

Adobe vil løse dette sikkerhetsproblemet i en versjon med planlagt utgivelse ca. 5. februar.

For å se den nyeste informasjonen kan brukere følge med på bloggen for Adobe Product Security Incident Response Team.

Berørte produktversjoner

Produkt Versjon Plattform
Adobe Flash Player Desktop Runtime 28.0.0.137 og tidligere versjoner Windows, Macintosh
Adobe Flash Player for Google Chrome 28.0.0.137 og tidligere versjoner Windows, Macintosh, Linux og Chrome OS 
Adobe Flash Player for Microsoft Edge og Internet Explorer 11 28.0.0.137 og tidligere versjoner Windows 10 og 8.1
Adobe Flash Player Desktop Runtime 28.0.0.137 og tidligere versjoner Linux

Du sjekker Adobe Flash Player-versjonsnummeret ved å gå til siden Om Flash Player eller høyreklikke på det aktuelle innholdet i Flash Player og velge "Om Adobe (eller Macromedia) Flash Player" på menyen. Hvis du bruker flere nettlesere, må du utføre denne kontrollen i alle nettleserne du har installert i systemet.

Trusselreduserende tiltak

Fra og med Flash Player 27 kan administratorer endre virkemåten for Flash Player ved kjøring i Internet Explorer på Windows 7 og lavere, ved å be om bekreftelse av brukeren før avspilling av SWF-innhold.  Hvis du vil ha mer informasjon, kan du se denne administrasjonsveiledningen.   

Administratorer bør også vurdere å implementere beskyttet visning for Office.  Beskyttet visning åpner en fil merket som potensiell usikker i skrivebeskyttet modus.  

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori Sikkerhetsprobleminnvirkning Alvorlighetsgrad CVE-nummer
Use-after-free Ekstern kjøring av kode Kritisk CVE-2018-4878

Takk

Adobe takker KrCERT/CC for å ha rapportert dette problemet og for å ha samarbeidet med Adobe om å beskytte kundene våre.