Adobe schließt 52 Sicherheitslücken in Flash Player

Peter Marwan,
Adobe (Grafik: Adobe)

Weitere 30 Fehler beseitigt Adobe in seinen PDF-Anwendungen Reader und Acrobat. Die insgesamt 82 Sicherheitsaktualisierungen werden im Rahmen des turnusmäßigen Patchdays ausgeliefert. Insbesondere die Patches für den Flash Player sollten Nutzer Adobe zufolge wegen des davon ausgehenden Risikos umgehend installieren.

Im Zuge seines Juli-Patchday hat Adobe 52 Patches für Lücken im Flash Player sowie 30 Patches für Schwachstellen in Reader und Acrobat bereit gestellt. Insgesamt werden also 82 Sicherheitslücken geschlossen. Sie werden von dem Hersteller allesamt als kritisch eingestuft, da Angreifer sie ausnutzen könnten, um die vollständige Kontrolle über ein System zu übernehmen.

Besonders gravierend sind die 52 Sicherheitslücken in Flash Player 22.0.0.192 und früher sowie Flash Player 18.0.0.360 und früher für Windows und Mac OS X. Laut Adobe ist bei ihnen die Wahrscheinlichkeit “sehr hoch”, dass sie von Angreifern ausgenutzt werden. Das Unternehmen empfiehlt Nutzern daher, die Patches so schnell wie möglich installieren, spätestens binnen 72 Stunden.

Auch die in den Browsern Edge, Internet Explorer und Chrome enthaltenen Plug-ins sind betroffen. Unter Linux ist laut Adobe lediglich eine Komponente betroffen, die “in der Vergangenheit kein Ziel von Angreifern war”. Hier sei die Gefahr also geringer.

Adobe verteilt die Versionen 22.0.0.209 sowie 18.0.0.366 für Windows und Mac OS X sowie 11.2.202.632 für Linux wie üblich über die Update-Funktion des Flash Player sowie seine Website. Microsoft und Google bieten automatische Aktualisierungen für ihre Browser an.

Für Adobes PDF-Anwendungen stehen Fixes für 30 als “kritisch” eingestufte Sicherheitslücken bereit. Allerdings gibt es Adobe zufolge bisher keine Exploits für die Schwachstellen. Der Hersteller rechnet auch nicht damit rechnet, dass kurzfristig welche in Umlauf kommen. Er empfiehlt daher, die Patches “innerhalb der nächsten 30 Tage” einzuspielen.

Fast 2100 Schwachstellen bei gängigen Softwareprodukten wurden dem Computer Emergency Response Team der Bundesverwaltung zufolge 2015 geschlossen. Die meisten als "kritisch" eingestuften gingen auf das Konto des Flash Players (Grafik: Statista).
Fast 2100 Schwachstellen bei gängigen Softwareprodukten wurden dem Computer Emergency Response Team der Bundesverwaltung zufolge 2015 geschlossen. Die meisten als “kritisch” eingestuften gingen auf das Konto des Flash Players (Grafik: Statista).

Betroffen sind Adobe DC und Adobe Reader DC 15.016.20045 sowie 15.006.30174 und früher für Windows und Mac OS X sowie Reader und Acrobat XI Version 11.0.16 und früher. Alle nun geschlossenen Schwachstellen erlauben das Einschleusen und Ausführen von Schadcode. In der Regel muss der Angreifer das Opfer lediglich dazu verleiten, eine präparierte PDF-Datei zu öffnen.

Außerdem steht auch ein Update für das Adobe XMP Toolkit für Java zur Verfügung. Es beseitigt einen sicherheitsrelevanten Fehler in der Version 5.1.2 und früher, der zur Offenlegung persönlicher Informationen führen kann. Auch hier hält Adobe die Entwicklung eines Exploits für sehr unwahrscheinlich.

Adobes Flash-Player ist ein gängiges Angriffsziel. In der Praxis wird zumindest das Browser-Plug-in nur noch selten benötigt. Viele Websites implementieren heute Multimediainhalte auf Basis aktueller HTML-5-Standards und kommen somit ohne Flash aus. Browser wie Chrome, Firefox, Internet Explorer und Edge bieten zudem die Möglichkeit, Flash zu deaktivieren oder vor der Ausführung des Plug-ins eine Genehmigung einzuholen (Click to play).

[mit Material von Stefan Beiersmann, ZDNet.de]

Downloads zu diesem Beitrag:

Tipp der Redaktion: Der Flash-Player ist am Ende. Zum Glück, denn er ist ein Einfallstor für Trojaner und Hacker, und mit HTML5 gibt es einen passenden Ersatz. Doch ein Leben ganz ohne Adobe? Ohne Reader? Ohne Photoshop? Es ist möglich – mit Programmen, die dazu noch kostenlos sind.