Flash Player: Adobe schließt Zero-Day-Lücke CVE-2016-7892

Im Zuge seines turnusmäßigen, monatlichen Patchdays hat Adobe auch die bislang unbekannte Sicherheitslücke mit der Kennung CVE-2016-7892 geschlossen. Sie wurde Adobe von einem externen Sicherheitsforscher gemeldet. Es handelt sich bei ihr um einen Use-after-free-Bug, der ausgenutzt werden kann, um Schadcode einzuschleusen und auszuführen.

Adobe zufolge wird die Schwachstelle als “kritisch” eingestuft und bereits für Angriffe ausgenutzt. Die richten sich derzeit allerdings nur gegen Windows-Systeme und die 32-Bit-Version des Internet Explorer. Adobe rät Nutzern des Internet Explorers mit Flash-Plug-in, unverzüglich auf Version 24.0.0.186 umzusteigen. Auch andere Flash-Nutzer sollten die Adobe-Software respektive das Browser-Plug-in aktualisieren, da damit zu rechnen ist, dass die Schachstelle, nun da sie öffentlich bekannt ist, umfangreicher ausgenutzt wird.

Mehr zum Thema

Alternativen für Reader, Photoshop & Co.

Der Flash-Player ist am Ende. Zum Glück, denn er ist ein Einfallstor für Trojaner und Hacker, und mit HTML5 gibt es einen passenden Ersatz. Doch ein Leben ganz ohne Adobe? Ohne Reader? Ohne Photoshop? Es ist möglich – mit Programmen, die dazu noch kostenlos sind.

Insgesamt behebt Adobe mit dem Update zum Dezember-Patchday 17 Schwachstellen in Flash Player 23.0.0.207 und früher für Windows und MacOS sowie Flash Player 11.2.202.644 und früher für Linux. Auch die in die Browser Chrome für Windows, MacOS, Linux und Chrome OS sowie Internet Explorer 11 und Edge für Windows 10 und 8.1 integrierten Plug-ins sind angreifbar und sollten aktualisiert werden.

Adobe bietet Version 24.0.0.186 über die Update-Funktion des Flash Player und seine Website an. Google und Microsoft haben ihre Browser Chrome beziehungsweise Internet Explorer und Edge bereits aktualisiert.

PartnerZone

Effektive Meeting-und Kollaboration-Lösungen

Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.

Im Zuge des Dezember-Patchday liefet Adobe auch Sicherheits-Updates für seine Produkte Animate, Experience Manager Forms, DNG Converter, Experience Manager, InDesign, ColdFusion Builder, Digital Editions und RoboHelp. Mit ihnen werden insgesamt 13 weitere Anfälligkeiten beseitigt. Auch davon stuft Adobe einige als “kritisch” ein, da sie etwa Cross-Site-Scripting ermöglichen oder vertrauliche Informationen preisgeben können.

Microsoft hat zu seinem Dezember-Patchday 2016 insgesamt zwölf Sicherheits-Updates veröffentlicht. Mit ihnen werden auch schließen mehrere als “kritisch” eingestufte Lücken in mehreren Windows-Versionen, den Browsern Internet Explorer und Edge sowie in Microsoft Office geschlossen. Die Lücken in den Browsern könnten Angreifer durch eine spezielle präparierte Website ausnutzen, um die vollständige Kontrolle über ein Windows-System zu erlangen. Dann könnten sie beliebige Programme installieren, Daten anzeigen, ändern oder löschen oder sogar neue Administratoren einrichten.

[mit Material von Stefan Beiersmann, ZDNet.de]

Peter Marwan

Peter Marwan ist Chefredakteur von silicon.de und immer auf der Suche nach Möglichkeiten, wie Firmen den rasanten Fortschritt in der IT-Branche in der Praxis nutzen können. Dabei geht es nicht nur darum, Vorhandenes zu optimieren, sondern vor allem auch um Ansätze und Strategien, mit denen sich neue, durch die IT unterstützte Geschäftsmodellle entwickeln lassen.

Recent Posts

Backup-Lücken in der Cloud

Für Backup und Recovery ihrer Daten sind SaaS-Anwenderunternehmen selbst verantwortlich. Verlassen sie sich nur auf…

7 Stunden ago

Wie gut ist Deutschland gegen Cyberangriffe gerüstet?

Potsdamer Konferenz für Nationale CyberSicherheit 2022 des Hasso-Plattner-Instituts.

8 Stunden ago

Prävention von Post-Quantum-Cyber-Attacken

BlackBerry unterstützt quantenresistente sichere Boot-Signaturen für die kryptoagilen S32G-Fahrzeugnetzwerkprozessoren von NXP Semiconductors.

8 Stunden ago

BSI veröffentlich Whitepaper zur Prüfbarkeit von KI-Systemen

Methode zur Erfassung der Prüfbarkeit der IT-Sicherheit von KI-Systemen.

13 Stunden ago

Blick in die Blackbox: Transparente Künstliche Intelligenz

Funktionsweisen von KI-Anwendungen für Autonomen Fahren oder in der Industrie 4.0 müssen transparent und nachvollziehbar…

16 Stunden ago

Silicon Security Day: Künstliche Intelligenz in der Cyber-Security

Cyberangreifer setzen zunehmend KI als Waffe ein, um ihre Angriffe noch zielführender zu starten –…

3 Tagen ago