Flash Player: Adobe schließt Zero-Day-Lücke CVE-2016-7892

Adobe Flash: Bombe (Bild: ZDNet.de)

Sie steckt in Windows, MacOS und Linux. Auch die in den Browsern Chrome, Internet Explorer und Edge verbauten Plug-ins sind anfällig. Angreifer könnten die Lücke ausnutzen, um Schadcode einzuschleusen. Aktuell wird bereits die 32-Bit-Version des Internet Explorer angegriffen.

Im Zuge seines turnusmäßigen, monatlichen Patchdays hat Adobe auch die bislang unbekannte Sicherheitslücke mit der Kennung CVE-2016-7892 geschlossen. Sie wurde Adobe von einem externen Sicherheitsforscher gemeldet. Es handelt sich bei ihr um einen Use-after-free-Bug, der ausgenutzt werden kann, um Schadcode einzuschleusen und auszuführen.

Adobe zufolge wird die Schwachstelle als “kritisch” eingestuft und bereits für Angriffe ausgenutzt. Die richten sich derzeit allerdings nur gegen Windows-Systeme und die 32-Bit-Version des Internet Explorer. Adobe rät Nutzern des Internet Explorers mit Flash-Plug-in, unverzüglich auf Version 24.0.0.186 umzusteigen. Auch andere Flash-Nutzer sollten die Adobe-Software respektive das Browser-Plug-in aktualisieren, da damit zu rechnen ist, dass die Schachstelle, nun da sie öffentlich bekannt ist, umfangreicher ausgenutzt wird.

Mehr zum Thema

Alternativen für Reader, Photoshop & Co.

Der Flash-Player ist am Ende. Zum Glück, denn er ist ein Einfallstor für Trojaner und Hacker, und mit HTML5 gibt es einen passenden Ersatz. Doch ein Leben ganz ohne Adobe? Ohne Reader? Ohne Photoshop? Es ist möglich – mit Programmen, die dazu noch kostenlos sind.

Insgesamt behebt Adobe mit dem Update zum Dezember-Patchday 17 Schwachstellen in Flash Player 23.0.0.207 und früher für Windows und MacOS sowie Flash Player 11.2.202.644 und früher für Linux. Auch die in die Browser Chrome für Windows, MacOS, Linux und Chrome OS sowie Internet Explorer 11 und Edge für Windows 10 und 8.1 integrierten Plug-ins sind angreifbar und sollten aktualisiert werden.

Adobe bietet Version 24.0.0.186 über die Update-Funktion des Flash Player und seine Website an. Google und Microsoft haben ihre Browser Chrome beziehungsweise Internet Explorer und Edge bereits aktualisiert.

PartnerZone

Effektive Meeting-und Kollaboration-Lösungen

Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.

Im Zuge des Dezember-Patchday liefet Adobe auch Sicherheits-Updates für seine Produkte Animate, Experience Manager Forms, DNG Converter, Experience Manager, InDesign, ColdFusion Builder, Digital Editions und RoboHelp. Mit ihnen werden insgesamt 13 weitere Anfälligkeiten beseitigt. Auch davon stuft Adobe einige als “kritisch” ein, da sie etwa Cross-Site-Scripting ermöglichen oder vertrauliche Informationen preisgeben können.

Microsoft hat zu seinem Dezember-Patchday 2016 insgesamt zwölf Sicherheits-Updates veröffentlicht. Mit ihnen werden auch schließen mehrere als “kritisch” eingestufte Lücken in mehreren Windows-Versionen, den Browsern Internet Explorer und Edge sowie in Microsoft Office geschlossen. Die Lücken in den Browsern könnten Angreifer durch eine spezielle präparierte Website ausnutzen, um die vollständige Kontrolle über ein Windows-System zu erlangen. Dann könnten sie beliebige Programme installieren, Daten anzeigen, ändern oder löschen oder sogar neue Administratoren einrichten.

[mit Material von Stefan Beiersmann, ZDNet.de]