Adobe schließt kritische Löcher im Flash Player

Stefan Beiersmann,

Neben Microsoft hat auch Adobe an diesem Dienstag mehrere Sicherheitsupdates veröffentlicht. In Flash Player für Windows, Mac OS X, Linux und Android stecken vier kritische Löcher. Die gleiche Anzahl findet sich auch in Shockwave für Windows und Mac OS X.

Adobe Flash Player

Insgesamt schließen die Sicherheitsupdates acht als kritisch eingestufte Schwachstellen in Flash Player und Shockwave . Das Risiko, das von zwei weiteren Lücken in ColdFusion ausgeht, bewertet das Unternehmen mit “hoch”.

Einer Sicherheitswarnung zufolge sind Flash Player 11.6.602.180 und früher für Windows und Mac OS X, Flash Player 11.2.202.275 und früher für Linux sowie die Versionen 11.1.115.48 und früher für Android 4.x und 11.1.111.44 und früher für Android 3.x und 2.x anfällig. Ein Angreifer könnte einen Absturz der Anwendung auslösen oder möglicherweise auch die Kontrolle über ein betroffenes System übernehmen.

Die fehlerbereinigte Version 11.7.700.169 für Windows und Mac OS X soll einen Integer-Überlauf sowie drei Speicherfehler beseitigen. Entdeckt wurden die Fehler von Mitarbeitern des Google Security Team sowie vom französischen Sicherheitsunternehmen Vupen. Für Linux steht die Version 11.2.202.280 sowie für Android die Versionen 11.1.115.54 und 11.1.115.50 zur Verfügung. Microsoft und Google aktualisieren zudem den in ihren Browsern Chrome sowie IE 10 für Windows 8 integrierten Flash Player auf die Version 11.7.700.179 beziehungsweise 11.7.700.169.

Nutzer von Adobes Shockwave Player sollten die neue Version 12.0.2.122 installieren, die für Windows und Mac OS X zur Verfügung steht. Ein Pufferüberlauf, zwei Speicherfehler und ein Speicherleck in der Vorgängerversion 12.0.0.112 könnten es einem Angreifer erlauben, Schadcode einzuschleusen und auszuführen. Auch hier wurden die Schwachstellen nicht von Adobe selbst gefunden, sondern von Mitarbeitern der Sicherheitsanbieter Fortinet und Exodus Intelligence beziehungsweise vom Sicherheitsforscher Luigi Auriemma gemeldet.

Zwei Lücken in ColdFusion ermöglichen es Unbefugten, sich Zugang zur Administrator-Konsole zu verschaffen oder sich als angemeldeter Benutzer auszugeben. Davon betroffen sind ColdFusion 10, 9.0.2, 9.0.1 und 9.0 für Windows, Mac OS X und Linux.

Nutzer, die Flash schon installiert haben, erhalten die Aktualisierung automatisch. Alternativ kann das Update auch von der Adobe-Website heruntergeladen werden. Dort findet sich auch der Patch für Shockwave Player. Die Installation des Updates für ColdFusion beschreibt Adobe in einem Hilfe-Artikel.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de