Adobe hat ein außerplanmäßiges Sicherheits-Update für den Flash Player veröffentlicht. Mit ihm wird die als kritisch eingestufte Sicherheitslücke mit der Kennung CVE-2016-7855 geschlossen. Angreifer können sie asunutzen, um die vollständige Kontrolle über ein ungepatchtes System zu übernehmen.
Bei dem Fehler handelt sich um einen Use-after-free-Bug, der eine Remotecodeausführung ermöglicht. Fehlerhaft sind Flash Player 23.0.0.185 und früher für Windows und Mac OS X, 11.2.202.637 und früher für Linux. Außerd lassen sich die in die Browser Chrome, Edge und Internet Explorer 11 ab Werk integrierten Flash-Plug-ins angreifen. Nicht betroffen ist dagegen das Extended Support Release von Adobe Flash Player für Windows und Mac OS X (Version 18.0.0.375).
Laut Adobe sind bereits zielgerichtete Angriffe gegen Windows 7, 8.1 und 10 bekannt, bei denen die Schwachstelle ausgenutzt wird. Daher sollten Nutzer den Flash Player so schnell wie möglich auf Version 23.0.0.205 aktualisieren. Adobe bietet die über seine Website und die automatische Update-Funktion des Flash Player an. Auch Nutzer von Google Chrome und Microsoft Edge und Internet Explorer für Windows 10 und 8.1 erhalten das Update automatisch von ihrem Browser-Hersteller. Für Linux steht die fehlerbereinigte Version 11.2.202.643 zur Verfügung.
Der Flash-Player ist am Ende. Zum Glück, denn er ist ein Einfallstor für Trojaner und Hacker, und mit HTML5 gibt es einen passenden Ersatz. Doch ein Leben ganz ohne Adobe? Ohne Reader? Ohne Photoshop? Es ist möglich – mit Programmen, die dazu noch kostenlos sind.
CVE-2016-7855 ist bereits die vierte Zero-Day-Lücke, die dieses Jahr im Flash Player bekannt geworden ist. Für die im Mai geschlossene Lücke CVE-2016-4117 standen wenige Tage darauf Exploits in den Exploit Kits Magnitude, Neutrino und Angler bereit. Damit wurde es einer Vielzahl von Cyberkriminellen leicht gemacht, die Lücke auszunutzen. Das ist auch bei der aktuellen Lücke zu befürchten. Wer den Flash Player noch nutzt, sollte daher dringend Adobes Rat befolgen und ihn umgehend aktualisieren.
In Adobe Reader und Adobe Acrobat wurden mit dem turnusmäßigen Oktober-Patchday bereits 71 Schwachstellen behoben. Insgesamt 12 Schwachstellen steckten in Flash Player 23.0.0.162 sowie Flash Player 18.0.0.375 und früher für Windows und Mac OS X sowie in Flash Player 11.2.202.637 für Linux. Sie ermöglichen Unbefugten das Einschleusen und Ausführen von Schadcode und erlauben es ihnen, Sicherheitsfunktionen zu umgehen. Auch die in Google Chrome sowie Microsoft Edge und Internet Explorer für Windows 10 beziehungsweise 8.1 integrierten Plug-ins sind angreifbar.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.