Adobe warnt vor kritischer Zero-Day-Lücke in Flash Player

Sie steckt in Versionen für Windows, Mac OS X, Linux, Solaris und Android. Die PDF-Anwendungen Reader und Acrobat sind ebenfalls betroffen. Ein Patch soll in der kommenden Woche erscheinen.

Adobe hat vor einer Sicherheitslücke in Flash Player 10.2.152.33 oder früher für Windows, Mac OS X, Linux und Solaris gewarnt. Ebenfalls betroffen sind Flash Player 10.1.106.16 oder früher für Android sowie das in Googles Browser Chrome integrierte Flash-Plug-in. Das von der Schwachstelle ausgehende Risiko stuft das Unternehmen als „kritisch“ ein.

Einer Sicherheitsmeldung zufolge steckt der Fehler auch in der Datei „authplay.dll“, die in Adobe Reader X und Acrobat X sowie Reader und Acrobat 9.x oder früher für Windows und Mac OS X enthalten ist. Angreifer können einen Absturz der Anwendungen provozieren und so die vollständige Kontrolle über ein System übernehmen.

Wie Adobe mitteilt, wird die Anfälligkeit schon aktiv ausgenutzt. Derzeit seien E-Mails mit Microsoft-Excel-Dateien (.XLS) im Umlauf, die eine manipulierte Flash-Datei (.SWF) enthielten. Es gebe bisher aber keine direkten Angriffe auf Adobe Reader und Acrobat. Zudem seien Nutzer von Reader X durch die in die Anwendung integrierte Sandbox geschützt.

„Wir sind dabei, einen Patch für das Problem fertigzustellen“, heißt es in der Sicherheitswarnung. Updates für die betroffenen Produkte will Adobe in der Woche ab dem 21. März veröffentlichen. Einzige Ausnahme ist Reader X für Windows, für das ein Fix erst am nächsten vierteljährlichen Patchday am 14. Juni erscheinen soll. Grund dafür sei der geschützte Modus, der die Ausführung eines Exploits verhindere, so Adobe.

Kaspersky hat die Sicherheitslücke zum Anlass genommen, die Integration von Flash in Excel zu kritisieren. „Vielleicht bin ich altmodisch, aber ich sehe keinen Grund dafür, Flash in Excel-Dokumente einzubetten“, schreibt Roel Schouwenberg, Senior Antivirus Researcher bei Kaspersky, in einem Blogeintrag. „Aus meiner Sicht ist das ein gutes Beispiel dafür, dass zu viele Funktionen in einem Produkt zu Sicherheitsproblemen führen.“

HIGHLIGHT

ZDNet.de für mobile Geräte: m.zdnet.de

ZDNet.de steht nun auch in einer für mobile Geräte optimierten Version zur Verfügung. Unter m.zdnet.de finden Sie Nachrichten, Blogs und Testberichte.

Themenseiten: Adobe, Flash, PDF

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Adobe warnt vor kritischer Zero-Day-Lücke in Flash Player

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *