Flash Player: Adobe beseitigt kritische Zero-Day-Schwachstelle

Adobe stopft insgesamt 23 Löcher in Flash Player, die in allen unterstützten Versionen für Windows, Mac OS X und Linux sowie Adobe AIR für Windows, Mac OS X, iOS und Android stecken.

Das bereits angekündigte Sicherheitsupdate für Flash Player stopft insgesamt 23 als kritisch eingestufte Löcher. Adobe empfiehlt allen Nutzern des Flash Player und der Adobe Integrated Runtime, umgehend auf eine fehlerbereinigte Version umzusteigen. Dazu zählen Flash Player 21.0.0.182 und 18.0.0.333 für Windows und Mac OS X, Flash Player 11.2.202.577 für Linux sowie AIR Desktop Runtime, AIR SDK und Compiler und AIR für Android 21.0.0.176.

Logo Adobe Flash Player (Bild: Adobe)

Adobe verteilt die Updates über das Flash-Player- sowie das AIR-Download-Center. Windows- und Mac-Nutzer erhalten die neue Flash-Version aber auch automatisch über die integrierte Update-Funktion. Das gilt auch für Nutzer von Google Chrome, Edge und Internet Explorer 11 unter Windows 10 und IE 11 unter Windows 8.1.

Unter den Schwachstellen befindet sich eine Zero-Day-Lücke, die laut Adobe bereits für zielgerichtete Angriffe benutzt wird. Ein Angreifer kann mit ihrer Hilfe unter Umständen die vollständige Kontrolle über ein betroffenes System übernehmen. Betroffen sind Flash Player 20.0.0.306 sowie 18.0.0.329 und früher für Windows und Mac OS X, Flash Player 11.2.202.569 für Linux sowie die in Google Chrome, Edge und IE 11 für Windows 10 und IE 11 für Windows 8.1 integrierten Plug-ins.

Darüber hinaus sind die AIR Desktop Runtime für Windows und Mac OS X und das AIR SDK und Compiler für Windows, Mac OS X, Android und iOS bis einschließlich Version 20.0.0.260 sowie AIR für Android 20.0.0.233 und früher anfällig.

Das Update korrigiert elf Use-after-free-Bugs sowie acht Speicherfehler in Flash Player, die das Einschleusen und Ausführen von Schadcode erlauben. Das gilt auch für drei Integerüberläufe sowie einen Heap-Überlauf. Entdeckt wurden sie von Mitarbeitern von Google, Venustech ADLAB, Tencent, Alibaba, NSFOCUS, Microsoft sowie Forschern, die für HPEs Zero Day Initiative arbeiten.

Adobe hat wiederum über Kaspersky Lab von der Zero-Day-Lücke erfahren. Gegen wen sich die fraglichen Angriffe richten und wie weit verbreitet sie sind, ist indes nicht bekannt. Wahrscheinlich wird sich Kaspersky erst in einigen Tagen zu den Hintergründen der Attacken äußern, um Nutzern mehr Zeit für die Installation der Patches zu geben.

Download:

 
[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Flash Player: Adobe beseitigt kritische Zero-Day-Schwachstelle

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *