2202958

Update für Flash Player: 0-Day-Lücke geschlossen

16.06.2016 | 12:40 Uhr |

Adobe hat eine Reihe von Sicherheits-Updates bereit gestellt. Darunter auch ein wichtiges Update für den Flash Player. Es soll eine bereits ausgenutzte Lücke schließen.

Update 16. Juni, 12.00 Uhr: Update für Flash Player ist erschienen

Auch Adobe hatte gestern Patch Day. Der Hersteller hat Sicherheits-Updates für seine Produkte DNG SDK, Brackets Creative Cloud Desktop und ColdFusion. Im Vordergrund steht jedoch ein Update für den Flash Player. In der bis 15. Juni aktuellen Version des Flash Player steckte nämlich eine Sicherheitslücke, die bereits bei Angriffen eingesetzt wird. Ein jetzt veröffentlichtes Update schließt diese Lücke.

Der Juni ist der dritte Monat in Folge, in dem eine so genannte Zero-Day-Lücke im Flash Player bekannt wird. Betroffen sind alle Versionen bis einschließlich 21.0.0.242 für alle Plattformen. Entdeckt haben die Schwachstelle CVE-2016-4171 Anton Ivanov und Costin Raiu, Sicherheitsforscher beim Antivirushersteller Kaspersky Lab. Costin Raiu erklärt im Securelist-Blog , man habe die Lücke im Arsenal einer relativ neuen APT-Gruppe entdeckt, die er „ScarCruft“ nennt.

APT (Advanced Persistent Threat) bezeichnet gezielte Angriffe auf Unternehmen und andere Organisationen, die zur Spionage und/oder Sabotage dienen. Eingeschleuste, oft maßgeschneiderte und komplexe Malware soll längere Zeit unentdeckt auf den Zielsystemen verweilen, um Daten abzugreifen und maximalen Schaden anzurichten. Sie wird anders als gewöhnliche Malware in aller Regel nicht breit gestreut. Zum Portfolio der ScarCruft-Gruppe gehören laut Raiu zwei Flash-Exploits sowie einer für den Internet Explorer.

Details über die neue Flash-Lücke geben bislang weder Adobe noch Kaspersky Lab preis. Adobe hatte in seiner Sicherheitsmitteilung APSA16-03 ein Update für den Flash Player angekündigt, das am Donnerstag, 16. Juni, veröffentlicht wurde. Einen Grund für für die Verzögerung nennt Adobe nicht – vermutlich ist der Patch nicht rechtzeitig fertig geworden.

Download Adobe Flash Player mit Sicherheits-Update vom 16.6.2016

Parallel zu Microsofts Update-Dienstag hat Adobe Sicherheits-Updates für eine Reihe anderer Produkte bereit gestellt. So beseitigt ein Update für das DNG SDK eine Schwachstelle, die auf Fehler in der Speicherverwaltung zurück geht. DNG (digitales Negativ) ist ein von Adobe entwickeltes offenes Dateiformat für Rohdaten digitaler Kameras. Die meisten Kamerahersteller setzen ein eigenes (proprietäres) RAW-Format ein, etwa NEF bei Nikon. Mit dem kostenlos erhältlichen DNG-Konverter bietet Adobe ein Tool an, mit dem Sie RAW-Dateien unterschiedlicher Kameras in das einheitliche DNG-Format umwandeln können.

Adobe Brackets ist ein quelloffener Editor zur Entwicklung von Web-Seiten und -Anwendungen. Ein Update auf Version 1.7 schließt zwei Sicherheitslücken. Ebenfalls zwei Schwachstellen beseitigt Adobe in seiner Windows-Anwendung Creative Cloud Desktop. Die neue Version 3.70.272 ist als Update für Vorgängerversionen erhältlich. Für ColdFusion 10, 11 und 2016 stellt Adobe einen Hotfix bereit, der eine XSS-Lücke (Cross-site scripting) beseitigt.

0 Kommentare zu diesem Artikel
2202958