Flash Player: Adobe warnt vor kritischer Zero-Day-Lücke

Michael Schäfer
60 Kommentare
Flash Player: Adobe warnt vor kritischer Zero-Day-Lücke
Bild: elhombredenegro | CC BY 2.0

Adobe hat erneut vor einer Schwachstelle im Flash Player gewarnt. Laut den Forschern des Sicherheitsspezialisten Trend Micro sollen sich in den zuletzt erbeuteten und veröffentlichten Unterlagen vom Anbieter für Überwachungssoftware Hacking Team Hinweise zu besagten Sicherheitslücken befinden.

Durch die von Adobe als kritisch eingestufte Lücke (CVE-2015-5119) können sowohl Abstürze herbeigeführt wie auch die vollständige Kontrolle über die jeweiligen Systeme gewonnen werden. Betroffen sind dabei die Flash-Player-Varianten für Windows- und OS-X-Systeme in der Version 18.0.0.194 oder älter, sowie die Version 13.0.0.296 oder älter. Unter Linux sind die Versionen 11.2.202.468 oder älter betroffen. Entdeckt wurde die Sicherheitslücke vom Sicherheitsexperten Morgan Marquis-Boire sowie von Googles Project Zero.

Adobe hat heute mit Version 18.0.0.203 bereits ein Update für den Flash Player veröffentlicht. Aus den Release-Notes geht zum jetzigen Zeitpunkt jedoch noch nicht hervor, ob mit der Aktualisierung auch besagte Lücken geschlossen wurden. Google hat ebenfalls bereits mit der Verteilung der neuen Version für den Chrome-Browser begonnen. Das aktuell verteilte Update auf die Version 43.0.2357.132 für Windows, OS X und Linux beinhaltet ebenso den integrierten Flash Player in der Version 18.0.0.203.

Es darf aber davon ausgegangen werden, dass es in den nächsten Tagen nicht bei dieser einen Aktualisierung des Flash Players bleiben wird. Bei einer Analyse der entwendeten Unterlagen von Hacking Team fanden die Forscher von Trend Micro weitere Hinweise auf ausgenutzte Lücken in der Adobe-Software, darunter sogar zwei funktionierende Exploits. Das italienische Unternehmen pries eine Lücke dabei als den schönsten Flash-Bug seit CVE-2010-2161 vor fünf Jahren an. Eine weitere genannte Sicherheitslücke (CVE-2015-0349) wurde bereits im April dieses Jahres unschädlich gemacht.

Hacking Team: Gefundene Hinweise auf funktionierende Exploits
Hacking Team: Gefundene Hinweise auf funktionierende Exploits (Bild: TrendLabs)

Weiterhin fanden sich Hinweise auf Lücken, deren Auswirkungen noch nicht gänzlich geklärt sind. So beinhalteten die Dateien Beispielcode für eine Flash-Zero-Day-Lücke, mit welcher sich über die Browser Chrome, Firefox, Internet Explorer und Safari der Windows-Taschenrechner öffnen lässt. Ein weiterer Vermerk betrifft Windows 8.1 und das ab Ende Juli verfügbare Windows 10: Hier lässt sich über eine Lücke im Flash Player sogar die Sicherheitsfunktion Control Flow Guard umgehen.