Adobe patcht gravierende Sicherheitslücke im Flash Player

Adobe hat das zweite Sicherheitsupdate für Flash Player in diesem Monat zur Verfügung gestellt, um eine von Angreifern bereits ausgenutzte Schwachstelle zu beseitigen. Die Sicherheitslücke findet sich nach Angaben des Unternehmens in den erst vor kurzem ausgelieferten Versionen 12.0.0.44 für Windows und Mac OS X sowie 11.2.202.336 für Linux. Die im Chrome-Browser sowie in Internet Explorer 10 und 11 integrierten Flash-Plug-ins sind von der Sicherheitslücke zudem ebenso betroffen wie die Adobe Integrated Runtime (AIR) und das zugehörige Software Development Kit (SDK) in der Version 4.0.0.1390 und früher.

Adobe sind Berichte über einen Exploit für CVE-2014-0502 bekannt. Das Unternehmen empfiehlt allen Nutzern, das Update einzuspielen. Ein Angreifer könne unter Ausnutzung der Lücke möglicherweise die vollständige Kontrolle über ein System übernehmen.

Insgesamt beseitigt das Update drei Sicherheitslücken. Nach Unternehmensangaben handelt es sich um einen Stack-Überlauf, der Remotecodeausführung erlaubt, ein Speicherleck, mit dessen Hilfe die Sicherheitsfunktion Adress Space Layout Randomization (ASLR) umgangen werden kann, sowie eine Double-Free-Anfälligkeit, die ebenfalls das Einschleusen und Ausführen von Schadcode ermöglicht.

Die Lücke haben das Sicherheitsunternehmen Fireeye sowie das Google Security Team an Adobe gemeldet. Die anderen beiden Anfälligkeiten wurden von Wen Guanxing von Venustech entdeckt, der mit HPs Zero Day Initiative zusammenarbeitet.

Für Windows und Mac OS X steht Flash Player 12.0.0.70 zur Verfügung. Diese Version ist auch in Patches enthalten, die Google und Microsoft für ihre Browser anbieten. Linux-Nutzer können Flash Player 11.2.202.341 installieren. Zudem ist die AIR-Version 4.0.0.1628 auf der Adobe-Website erhältlich.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de