Adobe warnt vor kritischer Zero-Day-Lücke in Flash Player

Adobe hat vor einer Sicherheitslücke in Flash Player 10.2.152.33 oder früher für Windows, Mac OS X, Linux und Solaris gewarnt. Ebenfalls betroffen sind Flash Player 10.1.106.16 oder früher für Android sowie das in Googles Browser Chrome integrierte Flash-Plug-in. Das von der Schwachstelle ausgehende Risiko stuft das Unternehmen als „kritisch“ ein.

Einer Sicherheitsmeldung zufolge steckt der Fehler auch in der Datei „authplay.dll“, die in Adobe Reader X und Acrobat X sowie Reader und Acrobat 9.x oder früher für Windows und Mac OS X enthalten ist. Angreifer können einen Absturz der Anwendungen provozieren und so die vollständige Kontrolle über ein System übernehmen.

Wie Adobe mitteilt, wird die Anfälligkeit schon aktiv ausgenutzt. Derzeit seien E-Mails mit Microsoft-Excel-Dateien (.XLS) im Umlauf, die eine manipulierte Flash-Datei (.SWF) enthielten. Es gebe bisher aber keine direkten Angriffe auf Adobe Reader und Acrobat. Zudem seien Nutzer von Reader X durch die in die Anwendung integrierte Sandbox geschützt.

„Wir sind dabei, einen Patch für das Problem fertigzustellen“, heißt es in der Sicherheitswarnung. Updates für die betroffenen Produkte will Adobe in der Woche ab dem 21. März veröffentlichen. Einzige Ausnahme ist Reader X für Windows, für das ein Fix erst am nächsten vierteljährlichen Patchday am 14. Juni erscheinen soll. Grund dafür sei der geschützte Modus, der die Ausführung eines Exploits verhindere, so Adobe.

Kaspersky hat die Sicherheitslücke zum Anlass genommen, die Integration von Flash in Excel zu kritisieren. „Vielleicht bin ich altmodisch, aber ich sehe keinen Grund dafür, Flash in Excel-Dokumente einzubetten“, schreibt Roel Schouwenberg, Senior Antivirus Researcher bei Kaspersky, in einem Blogeintrag. „Aus meiner Sicht ist das ein gutes Beispiel dafür, dass zu viele Funktionen in einem Produkt zu Sicherheitsproblemen führen.“