Adobe reicht Patch für fehlerhaftes Update nach
Mit ihm werden drei Sicherheitslücken geschlossen, darunter auch auch die seit Anfang vergangener Woche bekannte Zero-Day-Lücke. Mit ihr lassen sich von Adobe erst vor kurzem eingeführte Methoden umgehen, die mehr Sicherheit für den Flash Player bieten sollten.
Adobe schließt mit einem außerplanmäßiges Update für den Flash Player drei Sicherheitslücken. Dazu gehört auch die seit Anfang vergangener Woche bekannte Zero-Day-Lücke, die laut Trend Micro auch im Rahmen der Operation Pawn Storm für Angriffe auf Behörden mehrerer Länder ausgenutzt wurde. Die Schwachstelle erlaubt es Angreifern, die vollständige Kontrolle über ein System zu übernehmen.
Die alle drei als “kritisch” eingestuften Fehler stecken in den am Dienstag vergangener Woche veröffentlichten Versionen 19.0.0.207 und 18.0.0.252 für Windows und Mac OS X und 11.2.202.535 für Linux. Auch die in Chrome für Windows, Mac OS X und Linux sowie Internet Explorer 10 und Internet Explorer 11 für Windows 8.x und Edge sowie Internet Explorer 11 für Windows enthaltenen Flash-Plug-ins sind anfällig.
Adobe zufolge handelt es sich um Type Confusion Vulnerabilities. Sie sind darauf zurückzuführen, dass Code Objekte verarbeitet, ohne vorher deren Typ zu prüfen. Entdeckt wurden die Schwachstellen von Trend Micro sowie der für Googles Project Zero arbeitenden Sicherheitsforscherin Natalie Silvanovich.
Laut Trend Micro hebelt ein Exploit mehrere Methoden aus, die Adobe zusammen mit Google entwickelt und im Sommer eingeführt hatte, um das Lesen und Schreiben von Speicherinhalten zu erschweren. So sei es etwa möglich, Schutzmechanismen wie Data Execution Prevention, Adress Space Layout Randomization und auch Microsofts Enhanced Mitigation Experience Toolkit zu umgehen und Schadcode innerhalb des Browserprozesses auszuführen.
Nutzern rät Adobe, so schnell wie möglich auf die fehlerfreien Versionen 19.0.0.226 und 18.0.0.255 für Windows und Mac OS X sowie 11.2.202.540 für Linux umzusteigen. Die von Google und Microsoft verteilten Updates für die Browser Chrome, Internet Explorer und Edge enthalten ebenfalls die aktualisierte Versionen des Flash-Plug-ins.
[mit Material von Stefan Beiersmann, ZDNet.de]
<!– Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de –>Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.