Adobe schließt schwerwiegende Zero-Day-Lücke in Flash Player

Adobe hat ein außerplanmäßiges Sicherheitsupdate für den Flash Player veröffentlicht. Es soll zwei Schwachstellen beseitigen, von denen eine als kritisch eingestuft und die andere als „wichtig“ bewertet wurde. Die kritische Anfälligkeit ist zudem eine Zero-Day-Lücke – für sie ist bereits ein Exploit im Umlauf.

Ein Angreifer, der die beiden Fehler ausnutzt, kann unter Umständen Schadcode einschleusen und ausführen und zusätzlich eine nicht autorisierte Ausweitung von Nutzerrechten erreichen. Davon betroffen sind die Flash Player Desktop Runtime Version 31.0.0.153 und früher für Windows, macOS und Linux, Flash Player für Google Chrome Version 31.0.0.153 und früher für Windows, macOS, Linux und Chrome OS sowie Flash Player für Edge und Internet Explorer 11 31.0.0.153 und früher unter Windows 10 und 8.1. Darüber hinaus ist auch der Adobe Flash Player Installer für Windows angreifbar.

Adobes Sicherheitswarnung zufolge steckt in den angreifbaren Versionen ein Use-after-free-Bug, der besagte Remotecodeausführung erlaubt. Zudem ist der Flash Player anfällig für DLL-Hijacking. Dabei wird einer Anwendung eine unsichere Bibliothek (DLL-Datei) untergeschoben.

Wie Threatpost berichtet, wurde der Use-after-free-Bug vom Sicherheitsanbieter Gigamon entdeckt, und zwar in einem Microsoft-Office-Document namens 22.docx. Dabei soll es sich um eine angebliche Bewerbung für eine Stelle in einer staatlichen Russischen Gesundheitsklinik handeln. Wird das Dokument geöffnet und der eingebettete Flash-Inhalt ausgeführt, kann ein Angreifer ein System per Befehlszeile kontrollieren.

Die Gigamon-Forscher kritisieren in dem Zusammenhang, dass es trotz der abnehmenden Verbreitung von Flash-Inhalten und des Flash Players immer noch möglich ist, Microsoft Office als Angriffsvektor für Flash-Lücken zu verwenden. Solange es solche Angriffsmöglichkeiten gebe, die eine zuverlässige Ausnutzung von Schwachstellen erlaubten, werde es auch Angriffe auf den Flash Player geben.

Adobe rät betroffenen Nutzern, so schnell wie möglich auf die fehlerbereinigte Version 32.0.0.101 des Flash Players umzusteigen. Sie liegt für Windows, macOS und Linux vor. Die Aktualisierung erfolgt über die Update-Funktion des Flash-Players oder das Flash Player Download Center. Darüber hinaus verteilen Google und Microsoft das Update an die Nutzer ihrer jeweiligen Browser Chrome, Edge und Internet Explorer 11.