Adobe schließt 36 Sicherheitslücken in Flash Player

Adobe hat wie angekündigt ein Update für Flash Player veröffentlicht. Es schließt insgesamt 36 als kritisch eingestufte Sicherheitslücken. Darunter ist eine Schwachstelle, die von Hackern bereits ausgenutzt wird. Details dazu finden sich in den seit mehreren Tagen im Internet verfügbaren Dokumenten des italienischen Spähsoftwareentwicklers Hacking Team.

Die Anfälligkeiten erlauben es einem Angreifer unter Umständen, die Kontrolle über ein System zu übernehmen. Darunter sind 13 Use-after-free-Bugs und sechs Speicherfehler. Fünf Lücken versetzen Hacker in die Lage, die Same-Origin-Richtlinie zu umgehen und persönliche Informationen zu stehlen. Außerdem beseitigt Adobe drei Heap-Pufferüberläufe und verbessert die Zufallsgestaltung des Adressraumaufbaus des Flash Heap unter Windows 7 64-Bit.

Adobe rät Nutzern, auf Flash Player 18.0.0.203 oder 13.0.0.302 für Windows oder Mac OS X beziehungsweise Flash Player 11.2.202.481 für Linux umzusteigen. Nutzer von Internet Explorer 10 und 11 unter Windows 8 und 8.1 erhalten von Microsoft ein Update für das in ihrem Browser enthaltene Flash-Plug-in. Google hat seinen Browser Chrome schon gestern aktualisiert. Darüber hinaus steht auch eine neue Version der AIR Desktop Runtime sowie des AIR SDK und Compiler zur Verfügung.

Schon vor zwei Wochen musste Adobe mit einem Notfall-Patch eine Zero-Day-Lücke in Flash Player schließen. Sie erlaubte ebenfalls das Einschleusen und Ausführen von Schadcode und wurde zu dem Zeitpunkt bereits für zielgerichtete Angriffe auf Systeme mit Internet Explorer und Windows 7 sowie Firefox unter Windows XP ausgenutzt.

Darüber hinaus hat das Unternehmen ein weiteres Sicherheitsupdate für seine PDF-Anwendungen Reader und Acrobat angekündigt. Es erscheint am 14. Juli im Rahmen von Adobes regulärem Patchday. Am kommenden Dienstag wird auch Microsoft wieder zahlreiche sicherheitsrelevante Aktualisierungen zur Verfügung stellen.