Adobe weist auf gravierende Schwachstelle im Flash Player hin

SicherheitSicherheitsmanagement
Adobe-Flash-Player (Bild: Adobe)

Die Lücke findet sich in der Version 21.0.0.197 und früher für Windows, Mac OS X, Linux sowie Chrome OS. Bislang bekannt sind jedoch nur Attacken auf Flash Player 20 unter Windows 7 sowie Windows XP. Aufgrund einer neuen Sicherheitsfunktion lässt sich der Exploit ab Version 21.0.0.182 nicht mehr ausnutzen.

Adobe hat auf eine Zero-Day-Lücke im Flash Player hingewiesen. Die als schwerwiegend bewertete Anfälligkeit findet sich in der Version 21.0.0.197 und früher für Windows, Mac OS X, Linux und Chrome OS. Gegebenenfalls ist ein Angreifer in der Lage, einen Absturz der Anwendung zu verursachen und darüber hinaus die vollständige Kontrolle über ein betroffenes System zu übernehmen.

Adobe-Flash-Player (Bild: Adobe)

Die Schwachstelle mit der Kennung CVE-2016-1019 wird laut der Sicherheitsmeldung schon aktiv für Angriffe auf Windows 7 und Windows XP mit Flash Player 20.0.0.306 und früher ausgenutzt. Angaben des Unternehmens zufolge verhindert eine mit Flash Player 21.0.0.182 eingeführte Sicherheitsfunktion, dass die Lücke ab dieser Version missbraucht werden kann, sodass Anwender von Flash Player 21.0.0.182 oder höher demnach vor Angriffen geschützt sind.

Adobe empfiehlt betroffenen Anwendern, unverzüglich auf eine aktuelle Version von Flash Player zu wechseln. Sie wird über die automatische Updatefunktion sowie das Flash Player Download Center ausgeliefert. Einen Patch will Adobe spätestens am 7. April bereitstellen, daher hält es bislang alle Einzelheiten zur Schwachstelle zurück.

Für Mozillas Browser Firefox steht derzeit nur die noch nicht fehlerbereinigte, laut Adobe jedoch nicht angreifbare Version 21.0.0.197 zum Download bereit. Das beispielsweise in Internet Explorer 11 unter Windows 10 integrierte Flash-Plug-in meldet sogar die noch ältere Version 21.0.0.182 als aktuell. Die enthält allerdings auch die besagte Sicherheitsfunktion, die vor dem Exploit schützt. Google liefert bereits die Version 21.0.0.213 an Nutzer von Chrome 49.0.2623.110 aus. Ob sie tatsächlich den angekündigten Patch beinhaltet, ist nicht bekannt.

Entdeckt wurde die Schwachstelle von den Sicherheitsforschern Kafeine, Genwei Jiang von FireEye sowie Clement Lecigne von Google. Kafeine lehnte auf Anfrage von Threatpost eine Stellungnahme vor Veröffentlichung des Patches ab. Die Produkte des Sicherheitsanbieters Eset erkennen die Schadsoftware “SWF/Exploit.CVE-2016-1019” bereits seit 5. April. Nutzer können unter http://www.adobe.com/software/flash/about/ ihre jeweilige Flash-Player-Version überprüfen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen