Adobe schließt Zero-Day-Lücke in Flash Player

Adobe hat ein Sicherheitsupdate für den Adobe Flash Player veröffentlicht, das eine als kritisch eingestufte Zero-Day-Lücke schließt. Die Schwachstelle wird einer Sicherheitswarnung zufolge derzeit für Angriffe gegen Windows-Systeme und die 32-Bit-Version des Internet Explorer eingesetzt. Adobe rät Nutzern des Plug-ins, unverzüglich auf die neue Version 24.0.0.186 umzusteigen.

Die fragliche Anfälligkeit mit der Kennung CVE-2016-7892 wurde von einem anonymen Sicherheitsforscher entdeckt und an Adobe gemeldet. Dabei handelt es sich um einen Use-after-free-Bug, der das Einschleusen und Ausführen von Schadcode erlaubt.

Insgesamt stopft das Update 17 Löcher in Flash Player 23.0.0.207 und früher für Windows und macOS sowie Flash Player 11.2.202.644 und früher für Linux. Außerdem sind die in die Browser Chrome für Windows, macOS, Linux und Chrome OS und Internet Explorer 11 und Edge für Windows 10 und 8.1 integrierten Plug-ins angreifbar.

Entdeckt wurden die Anfälligkeiten von Mitarbeitern von Microsoft, Pangu Lab, Tencent Zhanlu Lab, Tencent PC Manager, Palo Alto Networks, CloverSec L und 360 Vulcan Team. Einige Forscher reichten ihre Schwachstellen aber auch über Trend Micros Zero Day Initiative ein.

Adobe verteilt die Version 24.0.0.186 über die Update-Funktion des Flash Player und seine Website. Google und Microsoft haben ihre Browser Chrome beziehungsweise Internet Explorer und Edge ebenfalls aktualisiert.

Darüber hinaus bietet Adobe Sicherheitspatches für seine Produkte Animate, Experience Manager Forms, DNG Converter, Experience Manager, InDesign, ColdFusion Builder, Digital Editions und RoboHelp an. Zusammen beseitigen sie weitere 13 Anfälligkeiten, die Adobe zum Teil als kritisch bewertet. Sie ermöglichen unter anderem Cross-Site-Scripting oder führen zur Offenlegung vertraulicher Informationen.