Adobe beseitigt mit Sicherheitsupdate 25 gravierende Lücken im Flash Player
Die Schwachstellen betreffen die Versionen für Windows und OS X sowie die in Chrome, IE 11 und Edge integrierten Plug-ins. Auch die seit Wochenbeginn bekannte Zero-Day-Lücke ist darunter. Ein Angreifer könnte die komplette Kontrolle über ein ungepatchtes System übernehmen.
Wie angekündigt hat Adobe eine Sicherheitsaktualisierung für den Flash Player freigegeben. Es schließt insgesamt 25 Lücken, die das Unternehmen als schwerwiegend bewertet. Dazu zählt auch eine Zero-Day-Schwachstelle, die schon für zielgerichtete Attacken ausgenutzt wird. Sie betrifft alle aktuellen Flash-Ausgaben einschließlich der in den Browsern Chrome, Internet Explorer 11 und Edge integrierten Plug-ins.
Mithilfe der Schwachstellen ist ein Angreifer laut einem Sicherheitsbulletin in der Lage, Schadcode einzuschleusen und auszuführen. Dadurch ist es ihnen möglich, die komplette Kontrolle über ein ungepatchtes System zu übernehmen.
Dafür anfällig sind Flash Player 21.0.0.226 sowie 18.0.0.343 und früher für Windows und Mac OS X, Flash Player 11.2.202.616 für Linux, Flash Player 21.0.0.216 für Chrome und Flash Player 21.0.0.213 für Edge und IE 11 unter Windows 10 sowie IE 11 unter Windows 8.1. Überdies lassen sich die Lücken auch gegen Anwender von AIR, AIR SDK sowie AIR SDK und Compiler 21.0.0.198 und früher ausnutzen.
Die Schwachstellen, unter welchen sich zahlreiche Speicherfehler, Use-after-free-Bugs und Pufferüberläufe finden, wurden durch Mitarbeiter von Microsoft, Pangu Lab, Tencent, Nsfocus Security Team, Csirt.sk und Google Project Zero entdeckt. Über Einzelheiten zur Zero-Day-Lücke mit der Kennung CVE-2016-4117 informierte der Sicherheitsforscher Genwei Jiang von FireEye.
Betroffenen Nutzern wird empfohlen, schnellstmöglich die fehlerkorrigierten Versionen 21.0.0.242 oder 18.0.0.352 für Windows und OS X und 11.2.202.621 für Linux einzuspielen, die Adobe über die eingebaute Update-Funktion oder das Flash Player Download Center bereitstellt. Patches für die Microsoft-Browser Internet Explorer 11 und Edge sind schon seit Dienstagabend verfügbar. Seit gestern bietet Google ein Update für Chrome 50 an, welches ebenfalls die aktuelle Flash-Player-Version enthält.
Adobes Flash-Player stellt grundsätzlich ein beliebtes Ziel für Cyberkriminelle dar. In der Praxis ist zumindest die Browser-Erweiterung nur noch selten erforderlich. Viele Multimediainhalte werden heute auf der Grundlage aktueller HTML5-Standards auf Websites implementiert und kommen folglich ohne Flash aus. Browser wie Chrome, Firefox, Internet Explorer und Edge offerieren überdies die Möglichkeit, Flash zu deaktivieren oder vor der Ausführung des Plug-ins eine Genehmigung einzuholen. Auf Mobilgeräten spielt der Flash Player sogar überhaupt keine Rolle – für iOS war er nie verfügbar, während Android schon länger auf das Plug-in verzichtet.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de