Flash Player: Adobe patcht kritische Sicherheitslücke

Adobe hat mit der neuesten Flash-Player-Version insgesamt 36 kritische Sicherheitslücken geschlossen. Dazu zählt auch eine Zero-Day-Lücke, die von Cyberkriminellen aktiv ausgenutzt wird. Seit mehreren Tagen sind im Internet bereits Details zu der Schwachstelle im Umlauf. Sie stammen aus Dokumenten des italienischen Spähsoftwareentwicklers Hacking Team.

Angreifer können die Sicherheitslücken einsetzen, um in bestimmten Fällen ein System zu übernehmen. Darunter befinden sich 13 Use-after-free-Bugs und sechs Speicherfehler. Mit fünf Schwachstellen sind Cyberkriminelle in der Lage, die Same-Origin-Richtlinie zu umgehen und persönliche Informationen zu stehlen. Adobe beseitigt zudem drei Heap-Pufferüberläufe. Auch die Zufallsgestaltung des Adressraumaufbaus des Flash Heap unter Windows 7 64-Bit hat es verbessert.

Nutzer sollten schnellstmöglich Flash Player 18.0.0.203 oder 13.0.0.302 für Windows oder Mac OS X beziehungsweise Flash Player 11.2.202.481 für Linux installieren. Für Internet Explorer 10 und 11 unter Windows 8 und 8.1 verteilt Microsoft ein Update für das Flash-Plug-in der Browser. Google hat bereits gestern den Browser Chrome aktualisiert. Darüber hinaus steht auch eine neue Version der AIR Desktop Runtime sowie des AIR SDK und Compiler zur Verfügung.

Adobe musste bereits vor zwei Wochen einen Notfall-Patch für eine Zero-Day-Lücke in Flash Player veröffentlichen. Mit ihr ließ sich ebenfalls Schadcode einschleusen und ausführen. Die Lücke haben Angreifer zu diesem Zeitpunkt schon für zielgerichtete Angriffe auf Systeme mit Internet Explorer und Windows 7 sowie Firefox unter Windows XP ausgenutzt.

Darüber hinaus hat das Unternehmen ein weiteres Sicherheitsupdate für die PDF-Anwendungen Reader und Acrobat angekündigt. Es erscheint am 14. Juli im Rahmen von Adobes regulärem Patchday. Am kommenden Dienstag wird auch Microsoft wieder zahlreiche sicherheitsrelevante Aktualisierungen zur Verfügung stellen.

[mit Material von Stefan Beiersmann, ZDNet.de]