Flash Player: Adobe warnt vor kritischer Zero-Day-Lücke

Für die Zero-Day-Lücke in Flash Player, vor der Adobe jetzt warnt, ist bereits ein Exploit im Umlauf. Sie Schwachstelle mit der Kennung CVE-2016-4117 wird von Adobe selbst als kritisch eingestuft. Unter Umständen hat ein Angreifer die Möglichkeit, die vollständige Kontrolle über ein betroffenes System zu übernehmen. Das Unternehmen stopft darüber hinaus zahlreiche Löcher in seinen PDF-Anwendungen Reader und Acrobat.

Der Fehler befindet sich in Flash Player 21.0.0.226 und früher für Windows, Mac OS X, Linux und Chrome OS. Adobe will bereits morgen einen Patch zur Verfügung stellen. Entdeckt wurde die Schwachstelle von Genwei Jiang vom Sicherheitsanbieter FireEye.

Indes schließen die jüngsten Updates für Acrobat DC und Reader DC 92 als kritisch eingestufte Sicherheitslücken. Betroffen sind die Versionen 15.010.20060 und früher sowie 15.006.30121 und früher für Windows und Mac OS X. Nicht mehr sicher sind auch Acrobat XI und Reader XI (Version 11.0.15 und früher).

Adobe entfernt zahlreiche Use-after-free-Bugs sowie Speicherfehler, die das Einschleusen und Ausführen von Schadcode erlauben. Darüber hinaus ist es möglich, Ausführungseinschränkungen des JavaScript-API zu umgehen. Eine Anfälligkeit kann dazu führen, dass die PDF-Anwendungen persönliche Informationen preisgeben.

Anwender, die davon betroffen sind, sollten auf die korrigierten Versionen 15.016.20039 oder 15.006.30172 von Acrobat DC und Reader DC für Windows und Mac OS X umsteigen. Acrobat XI und Reader XI hat Adobe auf die Version 11.0.16 aktualisiert.

Außerdem steht auch ein Patch steht für ColdFusion 10 Update 18, ColdFusion 11 Update 7 und ColdFusion 2016.0.0 bereit. Er soll drei Lücken schließen, von denen laut Adobe ein hohes Risiko ausgeht. ColdFusion ist unter anderem anfällig für Cross-Site-Scripting. Darüber hinaus kommt es zu Problemen bei der Verifizierung von Wild-Card-Zertifikaten. Adobe aktualisiert aber auch die Apache Commons Collections Library.

Adobe verteilt die neuen Versionen der PDF-Anwendungen über die integrierte Update-Funktion und seine Website. In einer Sicherheitsmeldung findet sich zudem eine Beschreibung für die Aktualisierung von ColdFusion 10, 11 und 2016.

Immer wieder von Sicherheitsproblemen sind beben Flash und PDF auch Java und Silverlight betroffen. Anwender sollten auf diese Plug-ins entweder komplett verzichten oder sie so konfigurieren, dass sie nicht automatisch Inhalte wiedergeben, sondern erst die Zustimmung des Anwenders einholen. Das als “Click-To-Play” bekannte Feature bieten unter anderen Firefox und Chrome.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.