Adobe patcht 36 Lücken im Flash Player
Darunter befinden sich auch mehrere als kritisch eingestufte Sichehreitslücken. Die Updates sind für Windows, Mac, Linux und Chrome OS verfügbaren. Die behobenen Schwachstellen könnten es Angreifern zum Teil erlauben, die Kontrolle über ein System zu übernehmen.
Adobe hat Sicherheits-Updates für Flash Player für Windows, Mac, Linux und Chrome OS bereitgestelllt. Die behobenen Schwachstellen erlauben es Angreifern zum Teil, die Kontrolle über ein System zu übernehmen. Bei Windows und Mac sind Flash Player 21.0.0.242 und frühere Versionen betroffen. Adobe empfiehlt dringend die sofortige Aktualisierung auf die Version 22.0.0.192 über den integrierten Update-Mechanismus oder direkt vom Adobe Flash Player Download Center, das auch Updates für weitere Plattformen bereithält.
In seinem Security Bulletin weist der Hersteller außerdem darauf hin, dass ein Exploit für die Sicherheitslücke CVE-2016-4171 bereits in Umlauf ist und “in begrenztem Umfang für gezielte Attacken eingesetzt” wird. Er bezieht sich damit auf die von der Sicherheitsfirma Kaspersky vor einigen Tagen enthüllte neue Zero-Day-Lücke in Flash Player. Sie wird laut Kaspersky von einer Hackergruppe verwendet, die das russische Unternehmen “ScarCruft” nennt und für Angriffe in Russland, Nepal, Südkorea, China, Indien, Kuwait und Rumänien benutzt – und zwar schon seit März 2016.
Adobe geht davon aus, dass ein Angreifer unter Umständen einen Absturz der Anwendung auslösen und auch die vollständige Kontrolle über ein betroffenes System übernehmen kann. Das bedeutet, dass wohl auch Drive-by-Downloads möglich sind. Ein Opfer müsste also nur auf eine speziell präparierte Website gelockt werden, die dann ohne weitere Interaktion mit dem Nutzer Schadsoftware einschleust und ausführt.
Die Hacker sind Kaspersky zufolge derzeit für zwei Kampagnen verantwortlich: Operation Daybreak und Operation Erebus. Bei ersterer komme die Zero-Day-Lücke zum Einsatz. Operation Erebus wiederum nutze zwei ältere, bereits im April beziehungsweise Mai gestschlossene Lücken in Flash Player.
Auf Adobes Website können Nutzer prüfen, welche Flash-Player-Ausgabe sie derzeit verwenden. Neben Flash sind auch Java und Silverlight immer wieder von Sicherheitsproblemen betroffen. Nutzer sollten auf diese Plug-ins entweder komplett verzichten oder sie zumindest so konfigurieren, dass sie nicht automatisch Inhalte abspielen, sondern erst die Zustimmung des Anwenders einholen. Dieses als „Click-To-Play“ bekannte Feature bieten unter anderen Firefox und Chrome.
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de