Adobe: Update für Shockwave Player, neues Leck in Flash Player, Reader und Acrobat

Office-AnwendungenSicherheitSicherheitsmanagementSoftware

Das in der vergangenen Woche im Shockwave Player entdeckte Sicherheitsleck hat Adobe gerade mit einem Update bedacht, da ist im Flash Player ein neues Leck aufgetaucht, das sich durch in PDFs eingebettete Flash-Inhalte auch in Adobe Reader und Acrobat ausnutzen lässt.

Zum Leck selbst verrät Adobe in seinem Security Advisory wenig, nur dass es einen Programmabsturz auslösen kann, in dessen Folge sich Code ausführen lässt. Die Schwachstelle steckt im Flash Player, betrifft jedoch auch Adobe Reader und Acrobat, die Flash-Inhalte über die Bibliothek authplay.dll wiedergeben können. Diese ist allerdings nur Bestandteil der 9er und 10er Versionen, so dass Reader und Acrobat 8.x nicht betroffen sind. Gleiches gilt für den Reader unter Android.

Adobe zufolge wird das Leck bereits mithilfe manipulierter PDFs ausgenutzt, direkt auf den Flash Player gerichtete Angriffe hat man noch nicht beobachtet.

Ein Update für den Flash Player will Adobe am 9. November veröffentlichen, das Update für Adobe Reader und Acrobat soll am 15. November folgen. Bis dahin empfiehlt man den Anwendern das Löschen oder Umbenennen der authplay.dll. Wird ein PDF mit Flash-Inhalten geöffnet, führt das zwar zum Programmabsturz – jedoch zu einem, der nicht genutzt werden kann, um Code einzuschleusen.