Flash Player: Adobe veröffentlicht Patch für 22 kritische Lücken
Die Fehler stecken in den Versionen für Windows, Mac OS X und Linux. Auch die auf dem Hackerwettbewerb Pwn2Own präsentierten Schwachstellen beseitigt Adobe. Für ColdFusion und das Flex ASdoc Tool stehen ebenfalls Patches bereit.
Insgesamt 22 kritische Sicherheitslücken schließt Adobe mit dem jüngsten Update für Flash Player. Sie lassen sich ausnutzen, um Schadcode einzuschleusen und auszuführen. Dafür benötigen Angreifer nicht einmal eine Interaktion mit einem Nutzer. Die Fehler betreffen Flash Player 17.0.0.134 und früher und 13.0.0.277 und früher für Windows und Mac OS X sowie die Version 11.2.202.451 und früher für Linux.
Adobe behebt unter anderem elf Speicherfehler und vier Use-after-free-Bugs. Das Auhebeln von Sicherheitsfunktionen wie Address Space Layout Randomization (ASLR) sollen zwei weitere Fixes verhindern. Ein Pufferüberlauf in der Vorgängerversion kann außerdem eine Remotecodeausführung ermöglichen.
Die von den Hackergruppen Team509 und Keen Team sowie der Sicherheitsforscher Nicolas Joly auf dem Hackerwettbewerb Pwn2Own präsentierten Schwachstellen behebt Adobe ebenfalls mit dem Sicherheitsupdate. Die Lücken erlaubten das Ausführen von Schadcode außerhalb der Sandbox des Flash Players. Sie erhielten dafür Preisgelder von 85.000 beziehungsweise 30.000 Dollar.
Adobe empfiehlt betroffenen Nutzern, schnellstmöglich auf die fehlerbereinigten Version 17.0.0.169 oder 13.0.0.281 für Windows und Mac OS X sowie 11.2.202.457 für Linux umzusteigen. Außerdem verteilt Microsoft ein Update für Internet Explorer unter Windows 8.x. Auch Google aktualisiert das Flash-Plug-in im Browser Chrome.
Alternativen für Reader, Photoshop & Co.
Der Flash-Player ist am Ende. Zum Glück, denn er ist ein Einfallstor für Trojaner und Hacker, und mit HTML5 gibt es einen passenden Ersatz. Doch ein Leben ganz ohne Adobe? Ohne Reader? Ohne Photoshop? Es ist möglich – mit Programmen, die dazu noch kostenlos sind.
Neben den Fixes für Flash Player hat Adobe auch Patches für ColdFusion 10 und 11 sowie das Flex ASdoc Tool veröffentlicht. Sie schließen jeweils eine Sicherheitslücke. Der Konzern bewertet die beiden Updates als “wichtig”. Nutzer von ColdFusion 10 und 11 sollten die Updates 16 beziehungsweise 5 von der Adobe-Website herunterladen und zeitnah installieren. Eine Anleitung zur Beseitigung der Schwachstelle im Flex ASdoc Tool findet sich im zugehörigen Advisory. Sie gilt für Version 4.6 und früher der Anwendung.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de