Adobe beseitigt 35 kritische Schwachstellen im Flash Player
Die Lücken betreffen die Versionen für Windows, Mac OS X und Linux , aber auch Adobe AIR. Die Lecks erlauben das Einschleusen und Ausführen von Schadcode. Ebenso stehen Patches für die in Chrome, Edge und Internet Explorer integrierten Flash-Plug-ins bereit.
Adobe hat erneut eine Sicherheitsaktualisierung für seinen Flash Player verfügbar gemacht. Sie behebt insgesamt 35 durch das Unternehmen als kritisch bewertete Schwachstellen. Über ein betroffenes System könnte ein Angreifer gegebenenfalls die Kontrolle übernehmen. Adobe rät, das Update so schnell wie möglich einzuspielen. Dies gelte vor allem für Windows und Mac OS X.
Die Anfälligkeiten befinden sich unter Windows und Mac OS X im Flash Player 18.0.0.209 und früher beziehungsweise in Version 13.0.0.309 und früher. Unter Linux stecken sie in Version 11.2.202.491 und früher. Überdies sind die in Chrome für Windows, Mac OS X und Linux enthaltenen Browser-Plug-ins ebenso für Angriffe verwundbar wie die in Internet Explorer 11 und Edge unter Windows 10 respektive in Internet Explorer 10 und 11 unter Windows 8.x integrierten Erweiterungen. Anfällig sind aber auch AIR Desktop Runtime, AIR SDK und Compiler 18.0.0.180 und früher.
Laut einer Sicherheitsmeldung beheben die Patches 15 Use-after-free-Bugs, die eine Remotecodeausführung ermöglichen. Schadcode lässt sich jedoch auch unter Ausnutzung von 8 Speicherfehlern einschleusen. Die Sicherheitslücken haben unter anderem Mitarbeiter von Googles Project Zero, von Fortinets FortiGuard Labs und vom Alibaba Security Research Team entdeckt.
Adobe verteilt die fehlerbereinigte Version über seine Website sowie die Update-Funktion des Flash Player. Microsoft bietet zudem Patches für seine Browser Edge und Internet Explorer an. Nutzer von Google Chrome sollten hingegen prüfen, ob sich ihr Browser nach einem Neustart auf die Version 44.0.2403.155 aktualisiert hat. Kommentaren im Chrome Release Blog zufolge funktioniert die automatische Update-Funktion gegenwärtig nicht einwandfrei. Auf einem Windows-Testsystem der ITespresso-Schwestersite ZDNet meldete Chrome auch noch nach mehreren Neustarts, dass die unsichere Version 44.0.2403.130 weiterhin aktuell ist.
Erst vor knapp vier Wochen hatte Adobe mit einem Notfall-Patch zwei kritische Zero-Day-Lücken in Flash Player gestopft. Einzelheiten sowie Beispielcode dazu fanden sich in den Unterlagen, die dem italienischen Spähsoftwareanbieter Hacking Team gestohlen wurden.
Download zu diesem Beitrag:
[mit Material von Stefan Beiersmann, ZDNet.de]
<!– Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de –>Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.