Adobe schließt 26 kritische Sicherheitslücken in Flash Player

Adobe hat ein Sicherheitsupdate für Flash Player veröffentlicht. Es beseitigt insgesamt 26 Anfälligkeiten in den Versionen 22.0.0.211 und früher sowie 18.0.0.366 und früher für Windows und Mac OS X sowie 11.2.202.632 und früher für Linux. Auch die in den Browsern Google Chrome und Microsoft Edge und Internet Explorer 11 integrierten Plug-ins sind betroffen.

Den Schweregrad der Sicherheitslücken stuft das Unternehmen als „kritisch“ ein. Ein Angreifer kann unter Umständen die vollständige Kontrolle über ein betroffenes System übernehmen. Das Update hat zudem die Priorität 1. Das Risiko, dass Hacker in kürzester Zeit einen Exploit entwickeln, mit denen sich die Fehler ausnutzen lassen, ist laut Adobe besonders hoch. Nutzer sollten die jetzt veröffentlichten Updates also so schnell wie möglich installieren.

Sie beheben unter anderem elf Use-after-free-Bugs, die eine Remotecodeausführung ermöglichen. Weitere elf Speicherfehler lassen ebenfalls das Einschleusen und Ausführen von Schadcode zu. Drei Bugs erlauben es, Sicherheitsfunktionen zu umgehen, wodurch persönliche Daten des Nutzers nicht mehr vor unbefugten Zugriffen geschützt sind.

Entdeckt wurden die Anfälligkeiten unter anderem von Mitarbeitern von Google, NCC Group, Qihoo 360 Vulcan Team, Tencent und Palo Alto Networks. Adobe erhielt aber auch Details zu mehreren Schwachstellen über das Prämienprogramm von Microsoft, Trend Micros Zero Day Initiative und das Chromium Vulnerability Rewards Program. Adobe selbst zahlt nach eigenen Angaben keine Belohnungen für gefundene Sicherheitslücken.

Adobe rät betroffenen Nutzern, auf die fehlerbereinigten Versionen 23.0.0.162 oder 18.0.0.375 für Windows und Mac OS X umzusteigen. Google und Microsoft bieten indes Patches für ihre Browser Chrome sowie Edge und IE 11 an, die das integrierte Plug-in ebenfalls auf die Version 23.0.0.162 aktualisieren. Linux-Anwender sollten indes die Version 11.202.635 einspielen. Adobe verteilt die Fixes über die integrierte Update-Funktion (nur Windows und Mac OS X) des Flash Player und das Flash Player Download Center.

Darüber hinaus stehen Updates für Air SDK und Compiler 22.0.0.153 sowie Adobe Digital Editions 4.5.1 zur Verfügung. Ersteres führt eine sichere Übertragung von Runtime Analytics für Air-Anwendungen unter Android ein. Digital Editions für Windows, Mac OS X, iOS und Android ist hingegen anfällig für das Einschleusen und Ausführen von Schadcode.

Adobes Flash-Player ist ein beliebtes Ziel von Cyberkriminellen. In der Praxis wird zumindest das Browser-Plug-in nur noch selten benötigt. Viele Websites implementieren heute Multimediainhalte auf Basis aktueller HTML-5-Standards und kommen somit ohne Flash aus. Browser wie Chrome, Firefox, Internet Explorer und Edge bieten zudem die Möglichkeit, Flash zu deaktivieren oder vor der Ausführung des Plug-ins eine Genehmigung einzuholen (Click to play). Auf mobilen Geräten spielt der Flash Player indes keine Rolle – für iOS war er nie erhältlich und auch Android verzichtet schon länger auf das Plug-in.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.