Flash Player: Adobe liefert Patches für 26 gravierende Sicherheitslücken

Flash Player (Bild: Adobe)

Die Sicherheitslücken stecken in Flash Player 22.0.0.211 und früher sowie 18.0.0.366 und früher für Windows und Mac OS X. Adobe stuft sie als “kritisch” ein und orndet dem Update Prioritätsstufe 1 zu. Das bedeutet, dass es davon ausgeht, dass sich ein Exploit voraussichtlich “in kürzester Zeit” entwickeln lässt.

Adobe hat im Zuge des turnusmäßigen Patchdays ein Sicherheit-Update für den Flash Player veröffentlicht, mit dem insgesamt 26 Schwachstellen behoben werden. Sie finden sich laut Hersteller in Flash Player 22.0.0.211 und früher sowie 18.0.0.366 und früher für Windows und Mac OS X. Aber auch Flash Player 11.2.202.632 und früher für Linux ist betroffen. Wie oft sind auch die in Google Chrome, Microsoft Edge und Internet Explorer 11 integrierten Plug-ins über die Lücken ausnutzbar.

Die nun geschlossenen Sicherheitslücken stuft Adobe als “kritisch” ein. Das heißt, Angreifer können unter Umständen vollständig die Kontrolle über ein System übernehmen. Auch daher ordnet Adobe dem Update die Prioritätsstufe 1 zu. Das wiederum bedeutet, dass es davon ausgeht, dass sich ein Exploit voraussichtlich “in kürzester Zeit” entwickeln lässt. Nutzer sollten die jetzt veröffentlichten Updates also so schnell wie möglich einspielen.

Die Patches beheben unter anderem elf Use-after-free-Bugs, die Remotecodeausführung ermöglichen. Elf Speicherfehler lassen das Einschleusen und Ausführen von Schadcode zu. Drei Bugs ermöglichen es, Sicherheitsfunktionen zu umgehen.

Adobe rät, auf die Versionen 23.0.0.162 oder 18.0.0.375 für Windows und Mac OS X umzusteigen. Google und Microsoft bieten Patches für ihre Browser Chrome sowie Edge und Internet Explorer 11 an, die das integrierte Plug-in ebenfalls auf die Version 23.0.0.162 aktualisieren. Linux-Anwender sollten indes die Version 11.202.635 einspielen. Adobe stellt die Fixes für Windows und Mac OS X auch über die integrierte Update-Funktion des Flash Player und das Flash Player Download Center bereit.

Fast 2100 Schwachstellen bei gängigen Softwareprodukten wurden dem Computer Emergency Response Team der Bundesverwaltung zufolge 2015 geschlossen. Die meisten als "kritisch" eingestuften gingen auf das Konto des Flash Players (Grafik: Statista).
Fast 2100 Schwachstellen bei gängigen Softwareprodukten wurden dem Computer Emergency Response Team der Bundesverwaltung zufolge 2015 geschlossen. Die meisten als “kritisch” eingestuften gingen auf das Konto des Flash Players (Grafik: Statista).

Im Rahmen des September-Patchday liefert Adobe zudem Updates für Air SDK und Compiler (Version 22.0.0.153) sowie Adobe Digital Editions (Version 4.5.1). AIR SDK 22.0.0.153 führt eine sichere Übertragung von Runtime Analytics für Air-Anwendungen unter Android ein. Digital Editions 4.5.1 für Windows, Mac OS X, iOS und Android schließt Lücken, die das Einschleusen und Ausführen von Schadcode erlauben.

Adobes Flash-Player oder zumindest das Browser-Plug-in wird in der Praxis nur noch selten benötigt. Viele Websites stellen Multimediainhalte heute auf Basis von HTML5 dar und kommen somit ohne Flash aus. Chrome, Firefox, Internet Explorer und Edge bieten zudem die als Click to play bezeichnete Möglichkeit, Flash zu deaktivieren oder vor der Ausführung des Plug-ins eine Genehmigung einzuholen. Die Browserhersteller fahren ihre Unterstützung für Flash zudem immer mehr zurück beziehungsweise begrenzen die Darstellung von Flash-Inhalten auf das Notwendigste. Viele Nutzer können Flash daher bereits ohne Nachteile für die Webnutzung deinstallieren. Dabei hilft der unten zum Download angebotene Adobe Flash Player Uninstaller.

Downloads zu diesem Beitrag:

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.