Adobe schließt 17 kritische Lücken in Flash Player und AIR

Sie erlauben es Angreifern, die Kontrolle über ein anfälliges System zu übernehmen. Die Schwachstellen umfassen Use-after-free-Bugs, ein Type-Confusion-Leck und das Umgehen von Sicherheitsfunktionen. Google und Microsoft stellen Patches für die Flash-Plug-ins ihrer Browser bereit.

Adobe hat neue Versionen von Flash Player und seiner Laufzeitumgebung AIR veröffentlicht. Die Updates beseitigen insgesamt 17 Schwachstellen, von denen einige als kritisch eingestuft sind. Angreifer können sie ausnutzen, um die Kontrolle über ein anfälliges System zu übernehmen.

Adobe Flash Player (Bild: Adobe)Von den 17 Lücken sind allein 15 auf Use-after-free-Bugs zurückzuführen, die das Ausführen von Schadcode erlauben. Letzteres gilt auch für eine nun ebenfalls beseitigte Type-Confusion-Schwachstelle (CVE-2015-7659). Außerdem schließen die Updates ein Leck, durch das sich Sicherheitsfunktionen umgehen lassen, um beliebige Daten mit Benutzerrechten in das Dateisystem zu schreiben (CVE-2015-7662). Weitere Informationen zu den Anfälligkeiten finden sich in einer Sicherheitsmeldung von Adobe.

Entdeckt wurden die Schwachstellen unter anderem von Mitarbeitern von Googles Project Zero, HPs Zero Day Initiative und Endgame sowie von Jordan Rabet. Betroffen sind Flash Player 19.0.0.226 oder früher sowie 18.0.0.255 oder früher für Windows und Mac. Auch Flash Player 19.0.0.226 oder früher für Internet Explorer 10 und 11, den Windows-10-Browser Edge und Google Chrome sind anfällig. Gleiches gilt für Flash Player 11.2.202.540 oder früher unter Linux, jedoch stuft Adobe die Updates für diese Versionen als weniger dringend ein.

Für Windows und Mac steht die neue Flash-Player-Version 19.0.0.245 bereit, für Linux Flash Player 11.2.202.548. Das Flash Player Extended Support Release hat Adobe auf Version 18.0.0.261 aktualisiert.

Nutzer von Internet Explorer und Edge erhalten den Patch automatisch von Microsoft. Google hat ebenfalls ein Update für seinen Browser Chrome bereitgestellt. Anwender können unter dem Menüpunkt „Über Google Chrome“ prüfen, ob sie die Aktualisierung schon erhalten haben. Andernfalls wird bei der Gelegenheit die jüngste Version 46.0.2490.86 installiert.

Adobe Air SDK, Compiler und Laufzeitversionen bis 19.0.0.213 sind auf allen Plattformen anfällig. Das schließt auch die Mobilbetriebssysteme iOS und Android ein. Bei AIR für Android ist Version 19.0.0.190 oder früher betroffen. Alle AIR-Komponenten liegen ab sofort in Version 19.0.0.241 vor.

Nutzer von Flash Player und AIR sollten die Updates schnellstmöglich installieren. Herunterladen lassen sie sich aus dem Download-Archiv von ZDNet oder direkt von der Adobe-Website. Dort können User auch prüfen, welche Flash-Player-Ausgabe sie aktuell verwenden.

Download:

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Neueste Kommentare 

1 Kommentar zu Adobe schließt 17 kritische Lücken in Flash Player und AIR

Kommentar hinzufügen
  • Am 12. November 2015 um 10:32 von Ralf

    „Nutzer von Internet Explorer und Edge erhalten den Patch automatisch von Microsoft.“

    Gilt das auch für Windows 7? Ich meine mich zu erinnern, das der Flashplayer erst ab Windows 8 Bestandteil des IEs ist und dadurch auch automatisch von Microsoft aktualisiert wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *