Adobe stopft kritische Löcher in Flash Player, Reader und Acrobat

Adobe hat an seinem Juli-Patchday Updates für Flash Player sowie Reader und Acrobat veröffentlicht. Sie schließen insgesamt 82 Sicherheitslücken, die das Unternehmen durchweg als kritisch einstuft. Hacker könnten mithilfe der Schwachstellen die vollständige Kontrolle über ein betroffenes System übernehmen, heißt es in den zugehörigen Sicherheitsmeldungen.

Besonders schwerwiegend sind die 52 Anfälligkeiten in Flash Player 22.0.0.192 und früher sowie 18.0.0.360 und früher für Windows und Mac OS X. Hier vergibt Adobe die Priorität 1, weil die Wahrscheinlichkeit sehr hoch ist, dass diese Fehler von Hackern ausgenutzt werden. Nutzer sollten die Patches so schnell wie möglich installieren – Adobe empfiehlt eine Reaktion innerhalb von 72 Stunden.

Davon betroffen sind auch die in den Browsern Edge und Internet Explorer sowie Chrome enthaltenen Plug-ins. Unter Linux haben die Fixes hingegen nur die Priorität 3, da ein Produkt betroffen ist, das „in der Vergangenheit kein Ziel von Angreifern war“.

Über die Update-Funktion des Flash Player sowie seine Website verteilt Adobe die fehlerbereinigten Versionen 22.0.0.209 sowie 18.0.0.366 für Windows und Mac OS X sowie 11.2.202.632 für Linux. Außerdem bieten Microsoft und Google automatische Aktualisierungen für ihre Browser Internet Explorer und Edge beziehungsweise Chrome an, die eine neue Version des Flash-Plug-ins enthalten.

Nutzer von Adobes PDF-Anwendungen sollten ebenfalls die automatisch angebotenen Updates installieren oder sie über die Adobe-Website herunterladen. Sie stopfen 30 kritische Sicherheitslöcher mit der Priorität 2. Da es bisher keine Exploits für diese Anfälligkeiten gibt und Adobe auch nicht damit rechnet, dass Exploits kurzfristig veröffentlicht werden, empfiehlt Adobe hier, die Patches innerhalb der nächsten 30 Tage einzuspielen.

Das gilt für Adobe DC und Adobe Reader DC 15.016.20045 sowie 15.006.30174 und früher für Windows und Mac OS X sowie Reader und Acrobat XI Version 11.0.16 und früher. Alle Schwachstellen in diesen Produkten erlauben das Einschleusen und Ausführen von Schadcode. In der Regel muss ein Angreifer ein Opfer lediglich dazu verleiten, eine spezielle präparierte PDF-Datei zu öffnen.

Darüber hinaus steht auch noch ein Update für das Adobe XMP Toolkit für Java zur Verfügung. Es beseitigt einen sicherheitsrelevanten Fehler in der Version 5.1.2 und früher, der zur Offenlegung persönlicher Informationen führen kann. Auch hier hält Adobe die Entwicklung eines Exploits für sehr unwahrscheinlich.

Adobes Flash-Player ist ein beliebtes Ziel von Cyberkriminellen. In der Praxis wird zumindest das Browser-Plug-in nur noch selten benötigt. Viele Websites implementieren heute Multimediainhalte auf Basis aktueller HTML-5-Standards und kommen somit ohne Flash aus. Browser wie Chrome, Firefox, Internet Explorer und Edge bieten zudem die Möglichkeit, Flash zu deaktivieren oder vor der Ausführung des Plug-ins eine Genehmigung einzuholen (Click to play). Auf mobilen Geräten spielt der Flash Player indes keine Rolle – für iOS war er nie erhältlich und auch Android verzichtet schon länger auf das Plug-in.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.