Adobe stopft kritische Sicherheitslücken in Flash Player

Adobe hat insgesamt 36 Sicherheitslücken in Flash Player behoben, darunter mehrere kritische Lücken. Die verfügbaren Updates für Windows, Mac, Linux und Chrome OS beheben Schwachstellen, die Angreifern erlauben könnten, die Kontrolle über ein System zu übernehmen.

Bei Windows und Mac sind Flash Player 21.0.0.242 und frühere Versionen betroffen. Adobe empfiehlt dringend die sofortige Aktualisierung auf die Version 22.0.0.192 über den integrierten Update-Mechanismus oder direkt vom Adobe Flash Player Download Center, das auch Updates für weitere Plattformen bereithält.

In seinem Security Bulletin weist der Hersteller außerdem darauf hin, dass ein Exploit für die Sicherheitslücke CVE-2016-4171 bereits in Umlauf ist und „in begrenztem Umfang für gezielte Attacken eingesetzt“ wird. Er bezieht sich damit auf die von der Sicherheitsfirma Kaspersky vor einigen Tagen enthüllte neue Zero-Day-Lücke in Flash Player. Sie wird laut Kaspersky von einer Hackergruppe verwendet, die das russische Unternehmen „ScarCruft“ nennt und für Angriffe in Russland, Nepal, Südkorea, China, Indien, Kuwait und Rumänien benutzt – und zwar schon seit März 2016.

Adobe geht davon aus, dass ein Angreifer unter Umständen einen Absturz der Anwendung auslösen und auch die vollständige Kontrolle über ein betroffenes System übernehmen kann. Das bedeutet, dass wohl auch Drive-by-Downloads möglich sind. Ein Opfer müsste also nur auf eine speziell präparierte Website gelockt werden, die dann ohne weitere Interaktion mit dem Nutzer Schadsoftware einschleust und ausführt.

Die Hacker sind Kaspersky zufolge derzeit für zwei Kampagnen verantwortlich: Operation Daybreak und Operation Erebus. Bei ersterer komme die Zero-Day-Lücke zum Einsatz. Operation Erebus wiederum nutze zwei ältere, bereits im April beziehungsweise Mai gestopfte Löcher in Flash Player.

Auf Adobes Website können Nutzer prüfen, welche Flash-Player-Ausgabe sie derzeit verwenden. Neben Flash sind auch Java und Silverlight immer wieder von Sicherheitsproblemen betroffen. Nutzer sollten auf diese Plug-ins entweder komplett verzichten oder sie zumindest so konfigurieren, dass sie nicht automatisch Inhalte abspielen, sondern erst die Zustimmung des Anwenders einholen. Dieses als „Click-To-Play“ bekannte Feature bieten unter anderen Firefox und Chrome.

Immer mehr Sicherheitsexperten empfehlen den konsequenten Verzicht auf Adobe Flash Player ohne Wenn und Aber. Als einzig wahre Behebung der jüngsten Sicherheitslücke empfiehlt ZDNet.com-Autor Steven J. Vaughan-Nichols: „Patchen Sie es. Patchen Sie es jetzt. Besser noch, befreien Sie sich von Flash ein für allemal, oder stellen Sie es wenigstens so ein, dass es nur läuft, wenn Sie wirklich wollen, dass es läuft.“

Selbst Flash mit jeweils einmaliger Zustimmung des Nutzers hält Wade Alcorn von der Sicherheitsfirma Alcorn Group jedoch noch für zu riskant. „Jedes Mal, wenn Sie auf ‚Zulassen‘ klicken, lassen Sie sich auf ein gefährliches Würfelspiel ein“, warnte er gegenüber dem Sidney Morning Herald.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de