2221060

Adobe Flash Player - Update beseitigt 26 Lücken

14.09.2016 | 10:07 Uhr |

Adobe hat den Flash Player in der neuen Version 23 freigegeben. Darin haben die Entwickler 26 Sicherheitslücken geschlossen, die allesamt durch externe Forscher entdeckt wurden.

Wenn Microsoft seinen monatlichen Update-Dienstag abhält, ist meist auch bei Adobe Patch Day. Im September steuert Adobe Sicherheits-Updates für AIR, Flash Player und Digital Editions bei. Im neuen Flash Player 23 hat Adobe 26 Sicherheitslücken beseitigt. Die meisten dieser Schwachstellen sind als kritisch anzusehen, da ihre erfolgreiche Ausnutzung einem Angreifer ermöglicht beliebigen Code einzuschleusen und auszuführen. Auffällig ist, dass alle Lücken durch externe Sicherheitsforscher entdeckt wurden. Offenbar verwendet Adobe wenig Mühe darauf selbst Schwachstellen zu entdecken.

Neu im Flash Player 23 ist die Unterstützung für HSTS (HTTP Strict Transport Security). Damit kann eine Flash-Anwendung (SWF-Objekt) eine weitere Flash-Anwendung (Kind-SWF) über eine verschlüsselte Verbindung aufrufen, wenn der Server dies unterstützt. HSTS ist ein W3C-Standard, der Browser (und ihre Erweiterungen) dazu verpflichtet wann immer möglich eine sichere, verschlüsselte Verbindung zu nutzen.

Der Flash Player für Windows und Mac trägt nun die einheitliche Versionsnummer 23.0.0.162. Das schließt die integrierten Player in Chrome, Edge und Internet Explorer ein. Für Linux gibt es (abgesehen von Chrome) weiterhin nur ein Sicherheits-Update auf Version 11.2.202.635. Doch Adobe hat kürzlich angekündigt, dass Flash Player 23 auch für Linux-Browser mit NPAPI-Unterstützung (etwa Firefox) erhältlich sein wird. Eine Beta-Version ist bereits verfügbar. Künftig sollen PPAPI- (Chrome) und NPAPI-Version des Flash Player unter Linux wieder auf dem gleichen Stand gehalten werden. Da dies jedoch in erster Linie eine Sicherheitsmaßnahme darstelle, würden Funktionen wie Hardware-unterstützte 3D-Beschleunigung und DRM für Premium-Videoinhalte in der NPAPI-Fassung nur eingeschränkt zur Verfügung stehen. Wer diese unter Linux nutzen wolle, müsse einen PPAPI-Browser wie Chrome oder Opera einsetzen, empfiehlt Adobe.

Adobe AIR ist in der neuen Version 23.0.0.257 erhältlich. Sie bringt zahlreiche Verbesserungen für Android und iOS mit. Sie enthält auch den neuesten Flash Player. Zu den Neuerungen für iOS gehört die GameInput API, die es bereits unter Android gibt. Es ermöglicht die Nutzung verschiedener Game-Controller. Bei der so genannten Echo Cancellation ist es umgekehrt. Die Möglichkeit akustische Rückkopplungen zu unterdrücken gibt es für iOS bereits länger, nun ist sie auch für Android verfügbar. AIR unterstützt unter Android nun die verschlüsselte Übertragung von Laufzeitanalysedaten.

Adobe Digital Editions (ADE) für Windows, Mac, iOS und Android weist bis einschließlich Version 4.5.1 acht Sicherheitslücken auf, die Adobe in der neuen Version 4.5.2 beseitigt hat. Adobe stuft alle Schwachstellen als kritisch ein – sie können es einem Angreifer erlauben Code einzuschleusen und auszuführen. ADE ist eine Software zum Anzeigen digitaler Werke wie E-Books.

0 Kommentare zu diesem Artikel
2221060