Adobe schließt kritische Zero-Day-Lücke im Flash Player
Für den Flash Player unter Windows, OS X und Linux hat Adobe Aktualisierungen veröffentlicht, die eine als kritisch eingestufte Zero-Day-Lücke schließen, die Angreifern potenziell die Übernahme des Rechners ermöglicht.
Im Detail stehen die Aktualisierungen für den Flash Player 13.0.0.182 und frühere Versionen unter Windows, den Flash Player 13.0.0.201 und frühere Versionen unter OS X und den Flash Player 11.2.202.350 sowie frühere Versionen unter Linux zur Verfügung.
Die unter CVE-2014-0515 katalogisierte Verwundbarkeit, die unter Windows bereits aktiv ausgenutzt wird, wurde von Alexander Polyakov von den Kaspersky Labs entdeckt. Der Internet Explorer von Microsoft in Version 10 und 11 und Google Chrome, die eine eingebettete Version des Flash Player verwenden, wurden bereits aktualisiert. Anwender, die das Update noch nicht erhalten haben, sollten ihren Browser schließen und wieder starten. Die installierte Version kann auf der Adobe-Webseite überprüft werden.
Die neuen Versionen für andere Browser heißen 13.0.0.206 für Windows und Mac sowie 11.2.202.356 für Linux. Kaspersky Labs hat darüber hinaus zwei neue Exploits für diese Lücke vorgestellt. Diese setzen auf die zunehmend benutzten Watering Hole Attacks, um bestimmte, fest umrissene Zielgruppen anzugreifen. Dabei werden zunächst Webseiten identifiziert, die von diesen Gruppen vermutlich frequentiert werden, anschließend wird eine oder mehrere dieser Webseiten mit Malware infiziert. Die Angreifer warten dann ab, bis Mitglieder der Zielgruppen sich infizieren.
Die kürzlich bekannt gewordene kritische Sicherheitslücke im Internet Explorer, die ebenfalls über eine Flash-Lücke ausgenutzt wird, hat mit den jetzigen Updates für den Flash-Player nichts gemein. Adobe rät allen Anwendern des Flash Player, ihre Software auf die aktualisierte Version anzuheben.