Adobe schließt schwerwiegende Zero-Day-Lücke in Flash Player

Adobe hat ein außerplanmäßiges Sicherheitsupdate für den Flash Player veröffentlicht. Es soll zwei Schwachstellen beseitigen, von denen eine als kritisch eingestuft und die andere als „wichtig“ bewertet wurde. Die kritische Anfälligkeit ist zudem eine Zero-Day-Lücke – für sie ist bereits ein Exploit im Umlauf.

Ein Angreifer, der die beiden Fehler ausnutzt, kann unter Umständen Schadcode einschleusen und ausführen und zusätzlich eine nicht autorisierte Ausweitung von Nutzerrechten erreichen. Davon betroffen sind die Flash Player Desktop Runtime Version 31.0.0.153 und früher für Windows, macOS und Linux, Flash Player für Google Chrome Version 31.0.0.153 und früher für Windows, macOS, Linux und Chrome OS sowie Flash Player für Edge und Internet Explorer 11 31.0.0.153 und früher unter Windows 10 und 8.1. Darüber hinaus ist auch der Adobe Flash Player Installer für Windows angreifbar.

Adobes Sicherheitswarnung zufolge steckt in den angreifbaren Versionen ein Use-after-free-Bug, der besagte Remotecodeausführung erlaubt. Zudem ist der Flash Player anfällig für DLL-Hijacking. Dabei wird einer Anwendung eine unsichere Bibliothek (DLL-Datei) untergeschoben.

Wie Threatpost berichtet, wurde der Use-after-free-Bug vom Sicherheitsanbieter Gigamon entdeckt, und zwar in einem Microsoft-Office-Document namens 22.docx. Dabei soll es sich um eine angebliche Bewerbung für eine Stelle in einer staatlichen Russischen Gesundheitsklinik handeln. Wird das Dokument geöffnet und der eingebettete Flash-Inhalt ausgeführt, kann ein Angreifer ein System per Befehlszeile kontrollieren.

Die Gigamon-Forscher kritisieren in dem Zusammenhang, dass es trotz der abnehmenden Verbreitung von Flash-Inhalten und des Flash Players immer noch möglich ist, Microsoft Office als Angriffsvektor für Flash-Lücken zu verwenden. Solange es solche Angriffsmöglichkeiten gebe, die eine zuverlässige Ausnutzung von Schwachstellen erlaubten, werde es auch Angriffe auf den Flash Player geben.

Adobe rät betroffenen Nutzern, so schnell wie möglich auf die fehlerbereinigte Version 32.0.0.101 des Flash Players umzusteigen. Sie liegt für Windows, macOS und Linux vor. Die Aktualisierung erfolgt über die Update-Funktion des Flash-Players oder das Flash Player Download Center. Darüber hinaus verteilen Google und Microsoft das Update an die Nutzer ihrer jeweiligen Browser Chrome, Edge und Internet Explorer 11.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Quantencomputer: Google meldet Durchbruch bei Fehlerkorrektur

Der neue Quantenchip Willow löst eine Herausforderung, an der seit 30 Jahren gearbeitet wird. Google…

19 Stunden ago

OpenAI veröffentlicht KI-Video-Tool Sora

Es erstellt kurze Videoclips aus Textaufforderungen. Sora steht ab sofort Abonnenten von ChatGPT Plus und…

19 Stunden ago

KI-Modell „Made in Germany“

Telekom bietet als erstes Unternehmen kommerzielles Angebot mit Teuken-7B von OpenGPT-X.

22 Stunden ago

Studie: Mitarbeiterverhalten verursacht IT-Sicherheitsrisiken

Zur Arbeitserleichterung umgehen Mitarbeiter unter anderem Cybersicherheitsrichtlinien. Dazu gehört wie Wiederverwendung von Kennwörtern für geschäftliche…

2 Tagen ago

Lichtgeschwindigkeit für generative KI

Optiktechnologie könnte elektrische Verbindungen in Rechenzentren ersetzen und so Geschwindigkeit und Energieeffizienz für KI erheblich…

2 Tagen ago

Meta kündigt neues Rechenzentrum für 10 Milliarden Dollar an

Es entsteht im US-Bundesstaat Louisiana. Meta sichert damit den Rechenbedarf für seine KI-Dienste.

2 Tagen ago