Lücke im Flash Player wird durch aktuelles Update nicht behoben
Sie befindet sich in dem erst seit gestern verteilten Update auf Version 19.0.0.207. Hacker nutzen den Exploit bereits im Zuge der Cyberspionage-Kampagne Pawn Storm aus. Insgesamt schließt Adobe mit der Aktualisierung 13 Lecks im Flash Player und überdies weitere 56 Schwachstellen in seinen PDF-Applikationen.
Trend Micro hat auf eine Sicherheitslücke in Adobes Flash Player hingewiesen. Nach Angaben des Security-Anbieters findet sie sich auch in der jüngsten Version 19.0.0.207, die Adobe erst seit gestern Abend ausliefert. Die Sicherheitsaktualisierung schließt zwar insgesamt 13 als schwerwiegend bewertete Lecks, ist aber dennoch nach wie vor durch zumindest eine Anfälligkeit verwundbar. Eigenen Angaben zufolge hat Trend Micro sie bei der Überwachung der Hacking-Kampagne Pawn Storm entdeckt.
“Die Angreifer hinter Pawn Storm nutzen für ihre jüngste Kampagne eine neue Zero-Day-Lücke in Flash Player”, schreibt Trend Micro in einem Blogbeitrag. Die neuen Attacken richten sich demzufolge gegen die Außenministerien mehrerer Länder auf der ganzen Welt. Die Ziele hätten Spear-Phishing-Mails mit Links erhalten, die wiederum zu dem Exploit führten. Die Verweise auf den Exploit ähnelten wiederum jenen Links, die die Hacker für Angriffe auf die NATO und Mitarbeiter des Weißen Hauses genutzt hätten.
Die Schwachstellen, die Adobe gestern beseitigt hat, stecken im Flash Player 19.0.0.185 und früher sowie in Version 18.0.0.241 und früher für Windows und Mac OS X sowie im Flash Player 11.2.202.521 und früher für Linux. Auch die in Chrome für Windows, OS X, Linux und Chrome OS, Internet Explorer 11 und Edge für Windows 10 und IE 10 und 11 für Windows 8.x integrierten Plug-ins sind demnach verwundbar. Das gilt außerdem für die AIR Desktop Runtime, das AIR SDK sowie AIR SDK und Compiler in der Version 19.0.190 und früher.
Das Update korrigiert 6 Speicherfehler und vier Use-after-free-Bugs im Flash Player und in AIR. Sie erlauben es, Schadcode einzuschleusen und auszuführen, was es Angreifern ermöglicht, die vollständige Kontrolle über ein System zu übernehmen. Eine weitere Lücke erlaubt es, die Same-Origin-Richtlinie zu umgehen und vertrauliche Informationen auszulesen.
Betroffene Nutzer sollten also trotz der noch bestehenden Lücke die neue Version 19.0.0.207 für Windows und Mac OS X sowie 11.2.202.535 für Linux installieren. Außerdem hat Adobe das Extended Support Release auf die Version 18.0.0.252 aktualisiert. Google und Microsoft verteilen ebenfalls Updates für ihre Browser. Adobe AIR Runtime, SDK und Compiler stehen nun in der Version 19.0.0.213 zur Verfügung.
Trend Micro hat Adobe über die Sicherheitslücken informiert. Ein Patch für die aktuelle Version 19.0.0.207 ist demzufolge in Arbeit. Nutzer von Adobes PDF-Anwendungen erhalten seit gestern Abend zudem ein planmäßiges Update. Es schließt 56 Sicherheitslücken in Acrobat DC und Acrobat Reader DC, aber auch in Acrobat X und XI sowie in Reader X und XI. Adobe stuft sie ebenfalls als kritisch ein, weil ein Angreifer darüber möglicherweise die vollständige Kontrolle über ein betroffenes System übernehmen kann.
Die Fixes sind in Acrobat und Reader 11.0.13 sowie 10.1.16 für Windows und Mac OS X sowie Acrobat DC und Acrobat Reader DC 2015.009.20069 und 2015.006.30094 für Windows und Mac OS X enthalten. Eines der Haupteinfallstore für Schadsoftware ist der Browser und seine Plug-ins. Neben Flash sind auch Java, Silverlight und PDF immer wieder von Sicherheitsproblemen betroffen. Nutzer sollten auf diese Plug-ins entweder komplett verzichten oder sie so konfigurieren, dass sie nicht automatisch Inhalte abspielen, sondern erst die Zustimmung des Anwenders einholen. Diese als „Click-To-Play“ bekannte Funktion bieten unter anderen Chrome, Firefox und Safari.
Downloads:
[mit Material von Stefan Beiersmann, ZDNet.de]