2285474

Sicherheits-Updates für Flash Player und Connect

12.07.2017 | 08:54 Uhr |

Adobe hat zwei Sicherheits-Updates bereit gestellt, die insgesamt sechs Schwachstellen beseitigen. Je drei Lücken stecken im Flash Player und in Adobe Connect.

Adobe schließt sich regelmäßig an, wenn Microsoft seinen monatlichen Update-Dienstag abhält. In diesem Monat folgt es Microsoft auch darin, ein weniger opulentes Patch-Bündel abzuliefern. Es ist das kleinste Update-Paket, das Adobe seit längerer Zeit angeboten hat. Es umfasst Sicherheits-Updates für den Flash Player und Connect. Aber auch AIR bekommt ein Update.

Im neuen Flash Player 26.0.0.137 haben die Adobe-Entwickler drei Sicherheitslücken der Vorversionen geschlossen, von denen sie eine (CVE-2017-3099) als kritisch einstufen. Um diese Schwachstelle auszunutzen, könnte ein Angreifer ein speziell präpariertes Flash-Objekt in eine Web-Seite einbauen. Es könnte auch in einem Werbebanner versteckt sein. Damit könnte der Angreifer beliebigen Code einschleusen und auf dem Rechner des Opfers zur Ausführung bringen.

Eine der beiden anderen Lücken ermöglicht es einem Angreifer, nicht näher bezeichnete Sicherheitsmaßnahmen zu umgehen und an vertrauliche Informationen zu gelangen. Einige Details zu dieser Schwachstelle (CVE-2017-3080) sind bereits seit letzter Woche bekannt. Die letzte Lücke führt zur Offenlegung einer Speicheradresse und könnte im Zusammenspiel mit einer weiteren Schwachstelle interessant sein.

Das Update auf den neuesten Flash Player erhalten Sie im Normalfall automatisch. Für den im Internet Explorer (ab Windows 8) und in Edge integrierten Flash Player liefert Microsoft die neue Version über Windows Update. Google aktualisiert den in Chrome integrierten Flash Player ebenfalls ohne Zutun des Benutzers. Für Firefox und Co. kümmert sich unter Windows und Mac ein Adobe Update-Dienst darum, ebenso um den Internet Explorer bei Windows 7.

Adobes RIA-Plattform AIR ist in der neuen Version 26.0.0.127 verfügbar, die ebenfalls von den gestopften Flash-Lücken profitiert.

Adobe Connect ist eine Webkonferenz- und eLearning-Lösung, in deren neuester Version 9.6.2 der Hersteller drei Schwachstellen beseitigt hat. Zwei dieser Lücken können Angriffe per Cross-Site-Scripting (XSS) ermöglichen, die dritte Lücke so genannte Clickjacking-Attacken. Beim Clickjacking präsentiert der Angreifer dem Opfer zum Beispiel eine harmlos erscheinende Schaltfläche, während eine andere, transparente Schaltfläche darüber liegt. Letztere kapert den Klick.


0 Kommentare zu diesem Artikel
2285474