Adobe schließt zwei kritische Zero-Day-Lücken in Flash Player

Für beide Anfälligkeiten sind bereits Exploits im Umlauf. Einer davon richtet sich gegen Flash Player in Firefox oder Safari unter Mac OS X. Ein Angreifer könnte die vollständige Kontrolle über ein betroffenes System übernehmen.

Adobe hat ein Sicherheitsupdate für Flash Player veröffentlicht. Es beseitigt zwei Anfälligkeiten, die das Unternehmen als „kritisch“ bewertet. Ein Angreifer könnte mittels manipulierter Flash-Inhalte einen Absturz der Anwendung auslösen oder die Kontrolle über ein betroffenes System übernehmen. Adobe zufolge werden beide Schwachstellen bereits aktiv ausgenutzt.

Adobe Flash Player

Für eine der beiden Lücken ist demnach ein Exploit im Umlauf, der per E-Mail verbreitet wird. Die Nachrichten enthielten ein Word-Dokument mit speziell gestalteten Flash-Inhalten. Ziel sei das ActiveX-Control von Flash Player für Windows.

Die andere Schwachstelle wird über in Websites eingebettete manipulierte Flash-Dateien missbraucht. Sie richteten sich in erster Linie gegen Flash Player für Firefox und Safari unter Mac OS X, heißt es in einer Sicherheitswarnung von Adobe. Es gebe aber auch Angriffe gegen Windows-Nutzer. Hierbei käme erneut ein per E-Mail verbreitetes Word-Dokument mit manipuliertem Flash-Inhalt zum Einsatz.

Das Update steht für Flash 11.5.502.146 oder früher für Windows und Mac OS X sowie Flash 11.2.202.261 oder früher für Linux zur Verfügung. Auch Flash Player 11.1.115.36 für Android 4.x sowie Flash Player 11.1.111.31 für Android 3.x oder früher sind anfällig.

Nutzer, die Flash schon installiert haben, erhalten die Aktualisierung automatisch. Alternativ kann das Update von der Adobe-Website heruntergeladen werden. Die neue Android-Version gibt es allerdings nur für Geräte, auf denen vor dem 15. August schon Flash installiert war.

Darüber hinaus hat Microsoft ein Update für Internet Explorer 10 unter Windows 8 bereitgestellt. Es aktualisiert Adobes Flash Player und wird auch an Nutzer von Windows Server 2012 und Windows RT verteilt. Ein Patch für Chrome, das ebenfalls eine Version von Adobes Flash Player enthält, ist hingegen noch nicht verfügbar.

Download:

Themenseiten: Adobe, Chrome, Flash Player, Internet Explorer

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

7 Kommentare zu Adobe schließt zwei kritische Zero-Day-Lücken in Flash Player

Kommentar hinzufügen
  • Am 8. Februar 2013 um 13:05 von Mac-Harry.de

    „schließt Lücken“ ist gut formuliert, denn die Wahrheit ist: „… hat immer wieder schwere Sicherheitsmängel“

    Steve Jobs Gedanken zu Flash sind schon so alt und doch so aktuell. Flash ist eine Werbeschleuder und gute Websites tauschen es gegen das viel solidere, stabilere und felxible HTML 5 aus.

    Für den Mac empfehle ich ClickToFlash zu installieren, damit man als Anwender wählen kann, was man sehen möchte und was nicht (Werbung).

    • Am 8. Februar 2013 um 15:04 von Ikarus

      Und wenn html5 einmal von so Vielen genutzt wird, wie augenblicklich Flash, werden die, die nun Flash als Ziel sehen, eben html5 auseinandernehmen. Mehr Verbreitung – mehr entdeckte Lücken. Kein Zweifel ist html5 fortschrittlicher und bietet einiges das Flash nicht kann – Bei gleichem Verbreitungsgrad wird es dadurch aber nicht sicherer.
      Denn nach wie vor sitzt das größte Problem vor dem Bildschirm. Zum einen die, bei denen nur 2 Kugeln wie in einer Dose im Kopf rumkullern (meist User genannt) und die, die (falls Sie so interessant wären) Ihnen Ihre Identität in 5 Minuten stehlen könnten (meist Hacker genannt).

      • Am 8. Februar 2013 um 15:36 von Mac-Harry.de

        Das ist genau so unsachlich und faktisch nicht belegbar, wie die Argumentation, das OS X genau so unsicher sei wie Windows, wenn es so verbreitet wäre.

        Die Fachleute dagegen wissen: Flash ist ein Problem auf Basis der Architektur, das hat nichts mit der Verbreitung zu tun.

        • Am 8. Februar 2013 um 16:17 von Ikarus

          lach… So so die Fachleute. Welche? Ihre Mitanhänger?

          Die „Architektur“ einer Software kann einfach oder kompliziert sein – nichts davon ist per se sicherer oder unsicherer. Der Umfang einer Software ist das erste Problem, Niemand kann eine größere Software alleine innerhalb eines Lebenszyklus mehr schreiben. Unterschiedliche Programmierer – mehr Fehlerquellen. Die Prüfmechanismen für eine Software basieren immer nur auf der bereits gemachten Erfahrung und den bekannten Szenarien – dem gegenüber stehen eine Horde von kreativen Köpfen die Ideen entwickeln an die keiner je gedacht hat. Was da passiert zeigen die vielen kleinen „Wettbewerbe“ der Hacker. 20min um ein Fehler in OSX oder html5 oder sonst was zu finden ist da die „Wahrheit“

          Was glauben Sie warum man innerhalb von Stunden nach Erscheinen einer iOS-Version bereits in den Dev-Communities die Exploids findet? Wegen dessen „Architektur“? Nein, weil viele clevere Leute danach suchen. Aber bei einem Verbreitungsgrad von 2% für OSX kräht da kaum ein Hahn danach.

          Ergo – es ist empirisch Bewiesen, dass der Verbreitungsgrad einer Software proportional zu seinen „entdeckten“ Fehlern steht.

          • Am 8. Februar 2013 um 19:38 von Mac-Harry.de

            GENAU 136 Tage hat es gedauert, bis die Gruppe Evad3rs das iOS 6.x Jailbreak für iPhone, iPad und iPod ausgeliefert hat und die Prognosen für das nächste iOS liegen bereits bei etwa 180 Tagen. Ich glaube, dass diese Faktenlage belegt, wie sehr wir ihre anderen Argumente bewerten können.

            Tja, man sollte schon zumindest mal Google bemühen ;-)

          • Am 9. Februar 2013 um 13:02 von Ikarus

            @ Mac irgendwas
            Immer schön die Tatsachen verdrehen, gell?
            ICH schrieb, dass nach wenigen Stunden der Exploid also die Lücken im System gefunden sind. WANN daraus ein fertiger Jailbreak programmiert ist, ist eine völlig andere Geschichte.
            Zeigt mir aber wieder mal nur, dass Sie recht wenig in der Lage sind einen Text inhaltlich zu verstehen. Aber mit dem „aus dem Kontext ziehen“ und daraus neue „Wahrheiten“ kreiren kennen sie sich ja bestens aus.

          • Am 11. Februar 2013 um 9:08 von rob60

            Du hast natürlich recht, dass hier sehr viele clevere Leute sitzen die nach fehlern suchen, aber html5 ist Opensource, ergo können hier noch viel mehr ebenso clevere „gute“ hacker Fehler finden und diese melden, die wahrscheinlichkeit, dass ein „böser“ cracker eine solche Lücke findet ist also viel kleiner.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *