Sicherheitslücken in Flash: Adobe veröffentlicht außerplanmäßiges Update
Die aktuelle Version Adobe Flash Player 20.0.0.267 schließt insgesamt 19 Sicherheitslücken. Sie betreffen Memory-Corruption-Fehler, Type-Confusion-Probleme sowie Use-after-free-Bugs, die eine Remotecodeausführung erlauben. AIR ist auch betroffen.
Mit einem außerplanmäßigen Update für Flash Player reagiert Adobe auf bekannt gewordene Sicherheitslücken in seinem Browser-Plug-in. Der Notfall-Patch soll kritische Schwachstellen beseitigen, darunter eine Zero-Day-Lücke. Neben Flash ist auch Adobes Laufzeitumgebung AIR betroffen.
Laut Adobe könnten die Schwachstellen Angreifern die Übernahme eines betroffenen Systems ermöglichen. Mit der Aktualisierung schließt Adobe insgesamt 19 Sicherheitslücken. Sie betreffen Memory-Corruption-Fehler, Type-Confusion-Probleme sowie Use-after-free-Bugs, die eine Remotecodeausführung erlauben.
Laut Adobe soll bereits ein Exploit für die Sicherheitslücke CVE-2015-8651 in Umlauf sein und “in begrenzten, gezielten Attacken” eingesetzt werden. Die National Vulnerability Database (NVD) hat dazu bislang nur unvollständige Informationen und beschreibt einen Integer-Überlauf in Adobe Flash Player und Adobe AIR, der Angreifern die Ausführung beliebigen Codes über unspezifizierte Vektoren erlaubt.
Nutzern von Adobe Flash Player Desktop Runtime für Windows und OS X empfiehlt Adobe das umgehende Update auf Version 20.0.0.267. Flash Player Extended Support Release soll auf Version 18.0.0.324 aktualisiert werden. Flash Player for Linux steht in der aktualisierten Version 11.2.202.559 im Adobe Flash Player Download Center bereit. AIR liegt nun in der Version 20.0.0.233 vor.
Microsoft und Google verteilen außerdem Updates für ihre Browser. Google erneuert die Flash-Plug-ins in Chrome für Windows, Mac OS X sowie Linux auf die fehlerbereinigte Version. Microsoft aktualisiert Edge sowie Internet Explorer für Windows 10 ebenfalls automatisch auf die Flash-Player-Version 20.0.0.267. Auf Adobes Website können Nutzer prüfen, welche Flash-Player-Ausgabe sie derzeit verwenden.
Neben Flash sind auch Java und Silverlight immer wieder von Sicherheitsproblemen betroffen. Nutzer sollten auf diese Plug-ins entweder komplett verzichten oder sie so konfigurieren, dass sie nicht automatisch Inhalte abspielen, sondern erst die Zustimmung des Anwenders einholen. Dieses als „Click-To-Play“ bekannte Feature bieten unter anderen Firefox und Chrome.
Download:
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.