1906538

Kritische Lücke im Flash Player

21.02.2014 | 14:46 Uhr |

Adobe hat erneut ein Interims-Updates für den Flash Player veröffentlicht. Es beseitigt eine kritische Sicherheitslücke, die bereits für Angriffe im Web ausgenutzt wird, sowie zwei weitere gravierende Schwachstellen.

Bereits zum zweiten Mal in diesem Monat muss Adobe Löcher im Flash Player stopfen, weil es Angriffe im Web gibt, die davon Gebrauch machen. Die neue Version Flash Player 12.0.0.70 begebt drei Sicherheitslücken, von denen sich zwei eignen, um Code einzuschleusen und auszuführen. Auch für Adobe AIR gibt es diesmal ein Update, das den neuen Flash Player enthält.

Im Adobe Security Bulletin APSB14-07 gibt der Hersteller an, ihm lägen Berichte darüber vor, dass Exploit-Code für die als CVE-2014-0502 bezeichnete Sicherheitslücke im Flash Player bis Version 12.0.0.44 bereits öffentlich verfügbar sei. Praktisch bedeutet dies, dass dieser Code bereits den Weg in gängige Angriffsbaukästen gefunden haben dürfte.

Eine zweite Lücke, die Adobe in der neuesten Version geschlossen hat, eignet sich ebenfalls, um Code einzuschleusen und auszuführen. Die dritte Schwachstelle kann genutzt werden, um den Sicherheitsmechanismus ASLR (Address Space Layout Randomization) auszuhebeln und damit Exploit-Code für eine andere Schwachstelle ans Ziel zu bringen.

Der aktuelle Flash Player 12.0.0.70 ist für Windows und Mac verfügbar. Für Linux stellt Adobe die aktualisierte Version 11.2.202.341 bereit. Internet Explorer 10 und 11 unter Windows 8.x erhalten den aktuellen Flash Player über Microsoft Update. Google Chrome ist in der neuen Version 33 erhältlich, die auch den neuesten Flash Player mitbringt.

Die RIA-Plattform (Rich Internet Application) Adobe AIR enthält den Flash Player und ist damit ebenfalls anfällig. Adobe hat AIR in der neuen Version 4.0.0.1628 für Windows, Mac und Android veröffentlicht.

Erst Anfang Februar hatte Adobe ein Sicherheits-Update außer der Reihe heraus gebracht, um eine bereits ausgenutzte Sicherheitslücke im Flash Player zu schließen. Die zu diesem Zweck verteilte Version 12.0.0.44 muss nun erneut geflickt werden.

0 Kommentare zu diesem Artikel
1906538