Adobe schließt kritische Zero-Day-Lücke in Flash Player

Sie wird bereits für zielgerichtete Angriffe auf Windows-Anwender ausgenutzt. Die Verbreitung des Exploits erfolgt über eine Website des syrischen Justizministeriums. Das Update steht auch für Mac OS X und Linux sowie die in den Browsern Chrome, IE10 und IE11 integrierten Plug-ins zur Verfügung.

Adobe hat ein außerplanmäßiges Sicherheitsupdate für Flash Player veröffentlicht. Es schließt eine als kritisch eingestufte Lücke, die nach Angaben des Unternehmens bereits für zielgerichtete Angriffe gegen Windows-Nutzer ausgenutzt wird. Die Schwachstelle steckt aber auch in Flash Player für Mac OS X und Linux sowie in den Browsern IE10, IE11 und Chrome, in die das Plug-in ab Werk integriert ist.

Adobe-Logo

Einer Sicherheitswarnung von Adobe zufolge könnte ein Angreifer mithilfe einer präparierten Flash-Datei die Kontrolle über ein betroffenes System übernehmen. Das Update behebt demnach einen Pufferüberlauf, der wiederum das Einschleusen und Ausführen von Schadcode erlaubt.

Entdeckt wurde die Sicherheitslücke vom Forscher Alexander Polyakov von Kaspersky Lab. Nach Angaben des Unternehmens ist der Exploit bereits seit Anfang April im Umlauf. Er wurde über eine 2011 eingerichtete und im September 2013 gehackte Website des syrischen Justizministeriums verbreitet. „Wir glauben, dass sich der Angriff gegen syrische Dissidenten richtete, die sich über die Regierung beschweren wollten“, heißt es in einem Blogeintrag von Kaspersky Lab.

Adobe rät Nutzern von Windows und Mac OS X, auf die fehlerbereinigte Flash-Player-Version 13.0.0.206 umzusteigen. Sie ist auch in Updates enthalten, die Google für Chrome und Microsoft für Internet Explorer 10 und 11 verteilt. Adobe hat ebenfalls die noch unterstützte Flash-Version 11.7 für Windows und Mac OS aktualisiert. Für Linux steht Flash Player 11.2.202.356 zur Verfügung.

Google hat den Fehler im Flash-Plug-in schon in der vergangenen Woche mit dem Update auf Chrome 34.0.1847.131 für Windows und Mac OS X sowie Chrome 34.0.1847.132 für Linux behoben. Die neue Version des Google-Browsers beseitigt zudem neun weitere Anfälligkeiten. Darunter sind drei Schwachstellen in der Browserengine V8 sowie in DOM, von denen ein hohes Risiko ausgeht. Ein Angreifer könnte darüber Schadcode innerhalb der Sandbox ausführen.

Den Findern der Schwachstellen zahlt Google eine Belohnung von insgesamt 8000 Dollar. 5000 Dollar gehen an einen anonymen Nutzer, weitere 1500 Dollar an einen Nutzer namens John Butler. Die Höhe der Prämie richtet sich nach der Schwere der gefundenen Anfälligkeit.

[mit Material von Seth Rosenblatt, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Adobe, Browser, Chrome, Flash Player, Google, Internet Explorer, Kaspersky, Microsoft

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Adobe schließt kritische Zero-Day-Lücke in Flash Player

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *