Kaspersky und Adobe warnen vor kritischer Zero-Day-Lücke in Flash Player

Anfällig ist Flash Player 21.0.0.242 und früher für Windows, Mac OS, Linux und Chrome OS. Adobe kündigt einen Patch für 16. Juni an. Kaspersky zufolge wird die Schwachstelle für zielgerichtete Angriffe in Russland, China, Südkorea, und Rumänien eingesetzt.

Kaspersky hat eine neue Zero-Day-Lücke in Adobes Flash Player entdeckt. Sie wird von einer Hackergruppe verwendet, die das russische Unternehmen „ScarCruft“ nennt. Die Schwachstelle wird demnach für Angriffe in Russland, Nepal, Südkorea, China, Indien, Kuwait und Rumänien benutzt – und zwar schon seit März 2016. Adobe stuft sie in einem gestern veröffentlichten Advisory als kritisch ein.

Adobe Flash Player (Bild: Adobe)Die Anfälligkeit steckt in Flash Player 21.0.0.242 und früher für Windows, Mac OS X, Linux und Chrome OS. Adobe geht davon aus, dass ein Angreifer unter Umständen einen Absturz der Anwendung auslösen und auch die vollständige Kontrolle über ein betroffenes System übernehmen kann. Das bedeutet, dass wohl auch Drive-by-Downloads möglich sind. Ein Opfer müsste also nur auf eine speziell präparierte Website gelockt werden, die dann ohne weitere Interaktion mit dem Nutzer Schadsoftware einschleust und ausführt.

„Adobe ist ein Bericht bekannt, wonach ein Exploit für CVE-2016-4171 im Umlauf ist und für wenige zielgerichtete Angriffe benutzt wird“, heißt es in Adobes Sicherheitsmeldung. „Adobe wird diese Anfälligkeit mit dem monatlichen Sicherheitsupdate schließen, das am 16. Juni erhältlich sein wird.“

HIGHLIGHT

Admin-Tipps für Office 365

Office 365 ermöglicht vielfältige Einstellungsmöglichkeiten für Anwender und Administratoren. Kostenlose Zusatztools und die PowerShell helfen dabei, Office 365 optimal zu konfigurieren.

Die Hacker sind Kaspersky zufolge derzeit für zwei Kampagnen verantwortlich: Operation Daybreak und Operation Erebus. Bei ersterer komme die Zero-Day-Lücke zum Einsatz. Operation Erebus wiederum nutze zwei ältere, bereits im April beziehungsweise Mai gestopfte Löcher in Flash Player.

Weitere Details will Kaspersky erst nach der Veröffentlichung eines Patches durch Adobe bekannt geben. Microsofts Enhanced Mitigation Experience Toolkit (EMET) schütze vor Angriffen auf die Lücke. Nach Angaben des Unternehmens ist es bereits die zweite Zero-Day-Lücke, die es in diesem Jahr in Adobes Flash Player entdeckt hat.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Neueste Kommentare 

2 Kommentare zu Kaspersky und Adobe warnen vor kritischer Zero-Day-Lücke in Flash Player

Kommentar hinzufügen
  • Am 15. Juni 2016 um 10:57 von Gast

    …längst per gpedit deaktiviert…
    …wer Flash Inhalte noch auf seinen Seiten anbietet, der hat Pech gehabt…zumindest mir kann man per Flash keine Inhalte mitteilen…

  • Am 16. Juni 2016 um 7:33 von noflash

    Flash Player auch schon lange deaktiviert.
    Mittlerweile vermute ich, dass Adobe die vielen Bugs als ideale Werbemaßnahme betrachtet. Oder wie sonst kommt man kostenlos wöchentlich auf jedes IT-Blatt weltweit? Das Thema ist dann sowas von egal, aber der Name bleibt haften.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *