Adobe schließt kritische Sicherheitslücken in Flash Player

Adobe hat ein Sicherheitsupdate für den Flash Player veröffentlicht. Es soll 9 als kritische eingestufte Anfälligkeiten beseitigen. Davon betroffen ist die Version 25.0.0.171 und früher für Windows, Mac OS X und Linux sowie die in den Browsern Google Chrome und Microsoft Edge und Internet Explorer enthaltenen Plug-ins. Ein Angreifer kann unter Umständen die vollständige Kontrolle über ein betroffenes System übernehmen.

Einem Security Bulletin zufolge erlauben fünf Speicherfehler das Einschleusen und Ausführen von Schadcode aus der Ferne. Eine Remotecodeausführung nennt Adobe auch als mögliche Auswirkung von vier Use-after-free-Bugs. Entdeckt wurden die Schwachstellen von Mitarbeitern von CloverSec Labs, Googles Project Zero und Tencent Keen Lab. Erstere meldeten die Fehler allerdings zuerst an Trend Micros Zero Day Initiative, da Adobe im Gegensatz zu anderen Unternehmen wie Microsoft und Google keine Belohnungen an Sicherheitsforscher ausschüttet.

Betroffenen Nutzern steht ab sofort Flash Player 26.0.0.126 für Windows, Mac OS X und Linux zur Verfügung, und zwar im Flash Player Download Center oder über die in Flash Player integrierte Update-Funktion. Google und Microsoft wiederum aktualisieren automatisch die in ihren Browsern Chrome sowie Internet Explorer und Edge enthaltenen Flash-Plug-ins.

Darüber hinaus ist ein Patch für Shockwave Player 12.2.8.198 erhältlich. Er stopft ebenfalls ein als kritisch eingestuftes Speicherleck, das das Einschleusen und ausführen von Schadcode erlaubt. Nutzer von Shockwave Player sollten auf das fehlerbereinigte Release 12.2.9.199 umsteigen.

Weitere Updates bietet Adobe für Captivate 9 und früher sowie Digital Editions 4.5.4 und früher an. Sie sollen die Preisgabe von Informationen sowie die unerlaubte Ausweitung von Nutzerrechten verhindern. Digital Editions ist außerdem anfällig für das Einschleusen und Ausführen von Schadcode. Digital Editions 4.5.5 ist auf der Adobe-Website sowie im Apple App Store und Google Play Store erhältlich. Den Hotfix für Captivate 9 sowie Captivate 2017 verteilt Adobe ebenfalls über seine Website.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.