Adobe patcht gravierende Sicherheitslücken in Flash Player und AIR

SicherheitSicherheitsmanagement
Flash Player Logo (Bild: Adobe).

Angreifer könnten über sie die Kontrolle über ein anfälliges System übernehmen. Bei den Sicherheitslücken handelt es sich um Speicherlecks, Use-after-free-Bugs sowie Heap-Pufferüberläufe. Google und Microsoft haben Patches für die Flash-Plug-ins ihrer jeweiligen Browser verfügbar gemacht.

Adobe hat neue Versionen seines Flash Players und seiner Laufzeitumgebung AIR zum Download freigegeben. Für Windows und Mac steht Flash Player 16.0.0.257 parat, für den Flash Player unter Linux ist hingegen Version 11.2.202.429 verfügbar. Das Flash Player Extended Support Release hat Adobe auf Version 13.0.0.260 aktualisiert. Die Updates schließen insgesamt neun – teilweise als “kritisch” klassifizierte – Sicherheitslücken. Angreifer könnten sie ausnutzen, um die Kontrolle über ein ungepatchtes System zu übernehmen.

Für Windows und Mac steht jetzt Flash Player 16.0.0.257 bereit (Bild: Adobe).

Einige der Schwachstellen sind Speicherlecks, durch die sich Memory-Address-Randomization-Funktionen und andere Sicherheitsfeatures umgehen lassen, um Schadcode ausführen zu können (CVE-2015-0303, CVE-2015-0306). Überdies hat Adobe einen Use-after-free-Bug (CVE-2015-0308) und mehrere Heap-Pufferüberlauf-Anfälligkeiten beseitigt (CVE-2015-0304, CVE-2015-0309). Weitere Einzelheiten zu den Sicherheitslücken finden sich in einer Sicherheitsmeldung von Adobe.

Betroffen sind Flash Player 16.0.0.235 oder früher sowie 13.0.0.259 oder früher für Windows und Mac. Die Schwachstellen sind auch in Flash Player 16.0.0.235 oder früher für Internet Explorer 10 und 11 sowie für Google Chrome enthalten. Entsprechendes gilt für Flash Player 11.2.202.425 oder früher unter Linux, auch wenn die Updates für diese Versionen als weniger dringend eingestuft werden.

Anwender des Internet Explorer erhalten den Patch automatisch von Microsoft. Google hat ebenso ein Update für seinen Browser Chrome bereitgestellt. Nutzer können unter dem Menüpunkt “Über Google Chrome” prüfen, ob sie die Aktualisierung bereits bekommen haben. Falls nicht, wird bei der Gelegenheit gleich die aktuelle Version 39.0.2171.99 installiert.

Adobe Air SDK, Compiler und Laufzeitversionen bis 15.0.0.356 weisen auf allen Plattformen Schwachstellen auf. Das schließt auch die Mobilbetriebssysteme iOS und Android mit ein. AIR Desktop Runtime liegt ab sofort in Version 16.0.0.245 vor. Die aktuellste Fassung von SDK, Compiler und AIR für Android ist jetzt 16.0.0.272.

Anwender von Flash Player und AIR sollten die Updates schnellstmöglich installieren. Herunterladen lassen sie sich direkt von der Adobe-Website. Entdeckt wurden die jetzt geschlossenen Lücken unter anderem von Sicherheitsexperten von Google, McAfee, Heweltt-Packard und Verisign.

Downloads zu diesem Beitrag:

[mit Material von Björn Greif, ZDNet.de]

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen