Hacking-Team-Leaks: Adobe warnt vor weiteren Zero-Day-Lücken in Flash Player

Adobe hat zwei weitere Zero-Day-Lücken in Flash Player bestätigt. Die Details dazu fanden sich in den Geschäftsunterlagen, die dem italienischen Spähsoftwareanbieter Hacking Team entwendet wurden. Entdeckt haben die Schwachstellen die Sicherheitsunternehmen Fire Eye und Trend Micro. Adobe stuft sie unter Windows, Mac OS und Linux als kritisch ein.

Betroffen sind die Versionen 18.0.0.203 und früher sowie 13.0.0.302 und früher für Windows und Mac OS X und 11.2.202.481 und früher für Linux. Darüber hinaus ist auch die in Google Chrome für Linux enthaltene Version 18.0.0.204 anfällig. Beide Löcher werden laut Adobe bereits aktiv für Hackerangriffe benutzt. Ein Patch soll im Lauf der Woche zur Verfügung stehen.

Bei der Schwachstelle mit der Kennung CVE-2015-5123 handelt es sich Trend Micro zufolge um einen Value-of-trick-Bug, der einen Absturz des Flash Player auslösen kann. FireEye wiederum beschreibt in seinem Blog Details zu Beispielcode für die Flash-Lücke CVE-2015-5122 – einen Use-after-free-Bug in der Komponente DisplayObject. Dadurch ist es möglich, Schadcode einzuschleusen und auszuführen. In dem von Hacking Team entwickelten Proof of Concept starte der Windows-Taschenrechner, heißt es weiter in dem Blogeintrag.

„Da die Hacking-Team-Unterlagen öffentlich zugänglich sind, stellen sie ein Risiko für Nutzer dar“, schreibt Threat Analyst Peter Pi im Trend-Micro-Blog. „Deswegen raten wir Nutzern, Adobe Flash Player bis ein Patch zur Verfügung steht vorübergehend zu deaktivieren.“

Schon in der vergangenen Woche hatte Adobe 36 Löcher in Flash Player gestopft. Darunter war ebenfalls eine Anfälligkeit, die in den Dokumenten von Hacking Team beschrieben wird. Auch sie erlaubte es Hackern, die Kontrolle über ein betroffenes System zu übernehmen.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.