Kaspersky und Adobe warnen vor kritischer Zero-Day-Lücke in Flash Player

Kaspersky hat eine neue Zero-Day-Lücke in Adobes Flash Player entdeckt. Sie wird von einer Hackergruppe verwendet, die das russische Unternehmen „ScarCruft“ nennt. Die Schwachstelle wird demnach für Angriffe in Russland, Nepal, Südkorea, China, Indien, Kuwait und Rumänien benutzt – und zwar schon seit März 2016. Adobe stuft sie in einem gestern veröffentlichten Advisory als kritisch ein.

Die Anfälligkeit steckt in Flash Player 21.0.0.242 und früher für Windows, Mac OS X, Linux und Chrome OS. Adobe geht davon aus, dass ein Angreifer unter Umständen einen Absturz der Anwendung auslösen und auch die vollständige Kontrolle über ein betroffenes System übernehmen kann. Das bedeutet, dass wohl auch Drive-by-Downloads möglich sind. Ein Opfer müsste also nur auf eine speziell präparierte Website gelockt werden, die dann ohne weitere Interaktion mit dem Nutzer Schadsoftware einschleust und ausführt.

„Adobe ist ein Bericht bekannt, wonach ein Exploit für CVE-2016-4171 im Umlauf ist und für wenige zielgerichtete Angriffe benutzt wird“, heißt es in Adobes Sicherheitsmeldung. „Adobe wird diese Anfälligkeit mit dem monatlichen Sicherheitsupdate schließen, das am 16. Juni erhältlich sein wird.“

HIGHLIGHT

Admin-Tipps für Office 365

Office 365 ermöglicht vielfältige Einstellungsmöglichkeiten für Anwender und Administratoren. Kostenlose Zusatztools und die PowerShell helfen dabei, Office 365 optimal zu konfigurieren.

Die Hacker sind Kaspersky zufolge derzeit für zwei Kampagnen verantwortlich: Operation Daybreak und Operation Erebus. Bei ersterer komme die Zero-Day-Lücke zum Einsatz. Operation Erebus wiederum nutze zwei ältere, bereits im April beziehungsweise Mai gestopfte Löcher in Flash Player.

Weitere Details will Kaspersky erst nach der Veröffentlichung eines Patches durch Adobe bekannt geben. Microsofts Enhanced Mitigation Experience Toolkit (EMET) schütze vor Angriffen auf die Lücke. Nach Angaben des Unternehmens ist es bereits die zweite Zero-Day-Lücke, die es in diesem Jahr in Adobes Flash Player entdeckt hat.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Chief Digital Officer an Bord

Es gibt einen Wandel in der Verantwortlichkeit für Informationstechnologie in Unternehmen. Zunehmend treten Chief Digital…

18 Stunden ago

Digitale OT-Supply-Chain gefährdet

Operational Technology (OT) oder auf Deutsch die Steuerung von Produktionsanlagen gerät immer mehr ins Visier…

19 Stunden ago

FBI warnt vor Diebstahl von Passwörtern per QR-Code

Cyberkriminelle haben es auch auf Finanzdaten abgesehen. Sie machen sich den Umstand zunutze, dass QR-Codes…

2 Tagen ago

Project: Opera stellt Browser für Krypto-Dienste vor

Im Mittelpunkt steckt die Web3-Integration. Project unterstützt Bitcoin, Celo, Ethereum und Nervos. Weitere Kryptowährungen sollen…

2 Tagen ago

Cybersicherheit ohne menschliches Zutun

Solid-State Drives (SSD) mit integrierter künstlicher Intelligenz (KI) bieten Hardware-Schutz vor Cyberangriffen. Jetzt gibt es…

2 Tagen ago

Netzwerkadministration wird zu Strategy First

Netzwerkadministratoren stehen dieses Jahr vor neuen Herausforderungen wie Zero Trust, Forderungen nach höherer Konnektivität und…

2 Tagen ago