Adobe verteilt Notfall-Patch für den Flash Player

SicherheitSicherheitsmanagement
adobe-flash-updater (Bild Adobe)

Das Update auf die Version 18.0.0.209 ist ab sofort für Windows und Mac OS X erhältlich. Es schließt zumindest zwei Zero-Day-Lücken. Firefox blockiert das Flash-Plug-in in Version 18.0.0.203 und früher. Sicherheitsexperten fordern erneut das Ende der Flash-Technologie.

Adobe hat ein Notfall-Update für den Flash Player bereitgestellt. Der Patch soll zumindest zwei als kritisch bewertete Zero-Day-Lücken schließen. Fireeye und Trend Micro hatten Einzelheiten sowie Beispielcode hierzu in den Unterlagen gefunden, die kürzlich dem italienischen Spähsoftwarehersteller Hacking Team gestohlen wurden.

Da bislang kein Advisory von Adobe vorliegt, ist noch nicht bekannt, ob das Update auch Fixes für weitere Schwachstellen umfasst. Die beiden bisher bekannten Schwachstellen werden Adobe zufolge schon für Angriffe ausgenutzt. Auch Fireeye hat bereits Phishing-Kampagnen bekannter Gruppierungen beobachtet, bei denen die Sicherheitslücke CVE-2015-5119 im Adobe Flash Player von den Gruppierungen APT3 und APT18 auysgenutzt wird. Sie hätten damit Unternehmen aus unterschiedlichen Branchen ins Visier genommen.

Angreifer können durch Ausnutzung der Lücken sowohl einen Absturz der Anwendung auslösen als auch Schadcode Einschleusen und Ausführen. Trend Micro hatte Anwendern daher geraten, das Flash-Player-Plug-in in ihren Browsern bis zur Veröffentlichung eines Patches zu deaktivieren.

Mozilla schützt Nutzer von Firefox indem es das Flash-Plug-in bis einschließlich Version 18.0.0.203 blockiert (Screenshot: ITespresso).
Mozilla schützt Nutzer von Firefox indem es das Flash-Plug-in bis einschließlich Version 18.0.0.203 blockiert (Screenshot: ITespresso).

Mozilla schützt Nutzer von Firefox für Windows, Mac OS X und Linux, indem es das Flash-Plug-in bis einschließlich Version 18.0.0.203 schlicht blockiert. Über die Plug-in-Prüfseite des Unternehmens ist die neue Flash-Variante 18.0.0.209 schon erhältlich. Sie kann aber auch von der Adobe-Website für Windows (Internet Explorer, Firefox, Opera und Chromium-basierte Browser) und Mac OS X (Safari, Firefox, Opera und Chromium-basierte Browser) heruntergeladen werden. Allerdings listet Mozilla die unsichere Linux-Version 11.2.202.481 auf seiner Website noch als aktuell auf.

Ein Update für Internet Explorer 10 und 11 unter Windows 8.x und Google Chrome steht noch aus. In diesen beiden Browsern ist das Flash-Plug-in bereits vorinstalliert.

Aufgrund solcher und zahlreicher weiterer Sicherheitslücken, die es Hackern immer wieder ermöglichen, in Systeme und Netzwerke einzudringen, steht der Flash Player schon seit Jahren verstärkt in der Kritik. Aufsehen eregte insbesondere Apples Maßnahme, Flash von seinen Mobilgeräten zu verbannen. Der damalige Apple-CEO Steve Jobs begründete das im April 2010 auch damit, dass Flash Teil einer vergangenen Ära sei – bezog sich dabei aber nicht nur auf die Sicherheitsprobleme, sondern auch auf die Perfomance-Einbußen.

Bereits ein Jahr zuvor hatte Mike Bailey, Sicherheitsforscher bei Foreground Security, Adobe für seine Sicherheitsstrategien bei Flash Player gerügt, ein Jahr nach Jobs Kritik warf der derzeit bei Google beschäftigte Sicherheitsexperte Tavis Ormandy Adobe vor, 400 von ihm berichtete Sicherheitslücken im Flash Player zwar behoben, aber nicht dokumentiert zu haben.

Da Google und Adobe in Bezug auf die Suche nach Schwachstellen kooperieren, wurde damals vermutet, dass Adobe die Fehler als interne Entdeckungen verbuchte und daher nicht erwähnt. Eine zweite Möglichkeit war, dass die Definition einer Sicherheitslücke der Grund für das Schweigen war. Aus Sicht von Adobe ist ein Fehler grundsätzlich erst dann als Sicherheitslücke einzustufen, wenn ein Proof-of-Conecpt für einen Exploit vorliegt und eine CVE-Nummer vergeben wurde.

Aktuell fordert Facebooks Sicherheitschef Alex Stamos Adobe auf, die Flash-Technologie aufzugeben. “Es ist Zeit für Adobe, das Ende von Flash anzukündigen und die Browserhersteller zu bitten, am selben Tag Killbits zu setzen”, heißt es in seinem Tweet. “Selbst wenn es noch 18 Monate dauert, ein festes Datum ist die einzige Möglichkeit, die Abhängigkeiten zu lösen und ein ganzes Ökosystem gleichzeitig zu aktualisieren”, ergänzte er in einem weiteren Tweet.

Download:

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen