Flash Player: Adobe beseitigt 25 kritische Schwachstellen

SicherheitSicherheitsmanagement

Betroffen sind Flash-Player-Versionen für Windows und Mac OS X, Linux, Chrome , Edge und IE 11 unter Windows 10 und IE 11 unter Windows 8.1. Mit von der Partie ist auch die Zero-Day-Lücke, die seit Anfang der Woche bekannt ist. Hacker können unter Umständen die Kontrolle über ein nicht aktualisiertes System übernehmen.

Wie angekündigt hat Adobe ein Sicherheitsupdate für den Flash Player verfügbar gemacht. Es beseitigt insgesamt 25 Anfälligkeiten, die seitens des Unternehmens als kritisch einstuft werden. Unter den Schwachstellen befindet sich auch eine Zero-Day-Lücke, die bereits aktiv für zielgerichtete Angriffe genutzt wird. Davon sind alle aktuellen Flash-Versionen inklusive der in den Browsern Chrome, Internet Explorer 11 und Edge enthaltenen Plug-ins betroffen.

Adobe Flash Player Flash Player 21.0.0.242 beseitigt 25 kritische Schwachstellen (Bild: Adobe)

Ein Angreifer hat einem Sicherheitsbulletin zufolge die Möglichkeit, mithilfe der Sicherheitslücken Schadcode einzuschleusen und auszuführen. Damit ist es unter Umständen möglich, die vollständige Kontrolle über ein System übernehmen. Betroffen sind Flash Player 21.0.0.226 sowie 18.0.0.343 und früher für Windows und Mac OS X, Flash Player 11.2.202.616 für Linux, Flash Player für Chrome 21.0.0.216 und Flash Player 21.0.0.213 für Edge und IE 11 unter Windows 10 und IE 11 unter Windows 8.1. Die Schwachstellen können darüber hinaus auch gegen Nutzer von AIR, AIR SDK und AIR SDK und Compiler 21.0.0.198 und früher eingesetzt werden.

Anwender sollten möglichst schnell die bereinigten Versionen, also Flash Player 21.0.0.242 oder 18.0.0.352 für Windows und OS X und 11.2.202.621 für Linux installieren, die Adobe über die integrierte Update-Funktion oder das Flash Player Download Center zur Verfügung stellt. Seit Dienstagabend stehen bereits Fixes für die Microsoft-Browser IE 11 und Edge zur Verfügung. Google stellt seit gestern ein Update für Chrome 50 bereit, das ebenfalls die aktuelle Flash-Player-Version enthält.

Mitarbeiter von Microsoft, Pangu Lab, Tencent, Nsfocus Security Team, Csirt.sk und Google Project Zero hatten die Sicherheitslücken, darunter zahlreiche Speicherfehler, Use-after-free-Bugs und Pufferüberläufe, entdeckt. Details zu der Zero-Day-Lücke mit der Kennung CVE-2016-4117 lieferte der Sicherheitsforscher Genwei Jiang von FireEye.

Für Cyberkriminelle stellt Adobes Flash-Player ein beliebtes Ziel dar. In der Praxis wird zumindest das Browser-Plug-in nur noch selten benötigt. Viele Websites implementieren inzwischen Multimediainhalte auf Basis aktueller HTML-5-Standards und kommen somit ohne Flash aus. Außerdem bieten Browser wie Chrome, Firefox, Internet Explorer und Edge die Möglichkeit, Flash zu deaktivieren oder vor der Ausführung des Plug-ins eine Genehmigung einzuholen.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de