Flash Player und AIR: Adobe schließt 17 kritische Lücken
Die Sicherheitslücken ermöglichen Angreifern, die Kontrolle über ein anfälliges System zu übernehmen. Google und Microsoft halten Patches für die Flash-Plug-ins ihrer Browser bereit.
Die Updates, die Adobe von Flash Player und seiner Laufzeitumgebung AIR veröffentlicht hat, schließen insgesamt 17 Sicherheitslücken, von denen einige als kritisch eingestuft sind. Angreifer können die Anfälligkeiten ausnutzen, um die Kontrolle über ein anfälliges System zu übernehmen.
Allein 15 der 17 Schwachstellen sind auf Use-after-free-Bugs zurückzuführen, die das Ausführen von Schadecode erlauben. Letzteres gilt auch für eine nun ebenfalls beseitigte Type-Confusion-Schwachstelle (CVE-2015-7659). Außerdem schließen die Updates ein Leck, durch das sich Sicherheitsfunktionen umgehen lassen, um beliebige Daten mit Benutzerrechten in das Dateisystem zu schreiben (CVE-2015-7662). Weitere Informationen zu den Anfälligkeiten finden sich in einer Sicherheitsmeldung von Adobe.
Die Anfälligkeiten wurden unter anderem von Mitarbeitern von Googles Project Zero, HPs Zero Day Initiative und Endgame sowie von Jordan Rabet. Betroffen sind Flash Player 19.0.0.226 oder früher sowie 18.0.0.255 oder früher für Windows und Mac. Auch Flash Player 19.0.0.226 oder früher für Internet Explorer 10 und 11, den Windows-10-Browser Edge und Google Chrome sind anfällig. Gleiches gilt für Flash Player 11.2.202.540 oder früher unter Linux, jedoch stuft Adobe die Updates für diese Versionen als weniger dringend ein.
Für Windows und Mac steht die neue Flash-Player-Version 19.0.0.245 bereit, für Linux Flash Player 11.2.202.548. Das Flash Player Extended Support Release hat Adobe auf Version 18.0.0.261 aktualisiert.
Nutzer von Internet Explorer und Edge erhalten den Patch automatisch von Microsoft. Google hat ebenfalls ein Update für seinen Browser Chrome bereitgestellt. Anwender können unter dem Menüpunkt “Über Google Chrome” prüfen, ob sie die Aktualisierung schon erhalten haben. Andernfalls wird bei der Gelegenheit die jüngste Version 46.0.2490.86 installiert.
Adobe Air SDK, Compiler und Laufzeitversionen bis 19.0.0.213 sind auf allen Plattformen anfällig. Das schließt auch die Mobilbetriebssysteme iOS und Android ein. Bei AIR für Android ist Version 19.0.0.190 oder früher betroffen. Alle AIR-Komponenten liegen ab sofort in Version 19.0.0.241 vor.
Nutzer von Flash Player und AIR sollten die Updates schnellstmöglich installieren. Herunterladen lassen sie sich aus dem Download-Archiv von ZDNet oder direkt von der Adobe-Website. Dort können User auch prüfen, welche Flash-Player-Ausgabe sie aktuell verwenden.
Download:
[Mit Material von Björn Greif, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de