Adobe: Flash-Player erneut mit kritischen Lücken
Mit dem aktuellen Update behebt Adobe sieben sicherheitsrelevante Schwachstellen im Flash-Player, mit denen sich Angreifer unter Umständen Zugriff auf das jeweilige System verschaffen können. Die Probleme betreffen alle aktuell erhältlichen Versionen der Software für Windows, Linux und Mac OS.
Speicherfehler und Use-after-free-Bug
Alle sieben Lücken werden von Adobe als kritisch eingestuft. Betroffen sind die Versionen 25.0.0.148 und frühere für Windows und Linux, Flash Player 25.0.0.163 und frühere für MacOS sowie Version 25.0.0.148 oder früher für die in Google Chrome, Microsoft Edge und Internet Explorer 11 enthaltenen Flash-Plugins.
Das Update behebt sechs Speicherfehler und einen Use-after-free-Bug. Alle stehen in dem Verdacht, die Ausführung von Schadcodes auf dem System zu ermöglichen und dieses dadurch infiltrieren zu können. Adobe rät Nutzern zur sofortigen Aktualisierung, da das Unternehmen davon ausgeht, dass Angreifer die Schwachstellen bereits ausnutzen könnten.
Neue Version sollte schnellstens aufgespielt werden
Nutzer mit einem bereits installierten Player erhalten die neue Version über die Update-Funktion automatisch, gleiches gilt für Nutzer von Google Chrome, Microsoft Edge sowie des Internet Explorers 11. Für Anwender, welche die Update-Funktion nicht nutzen, wird empfohlen, die Version 25.0.0.171 umgehend über das Adobe Download Center herunterzuladen und manuell einzuspielen. Auch für Nutzer der Update-Funktion empfiehlt sich eine Überprüfung, ob die aktuelle Version bereits installiert ist.
Probleme auch in Experience Manager Forms
Ein weiteres Problem taucht im Experience Manager Forms auf: Hier lässt sich durch eine Schwachstelle in den Versionen 6.2, 6.1 und 6.0 für Windows, Linux, Solaris und AIX Einblick in vertrauliche Daten nehmen. Für die Version 6.0 stellt Adobe den Patch 2.0.58 bereit, 6.1 und 6.2 werden durch das Updates 6.1 SP2 CFP8 sowie 6.2 SP1 CFP3 mit einer abgesicherten Version versorgt.
Entdeckt wurden die Sicherheitslücken von Jihui Lu vom Tencent KeenLab (CVE-2017-3069, CVE-2017-3070, CVE-2017-3071, CVE-2017-3072, CVE-2017-3073 sowie CVE-2017-3074) sowie Mateusz Jurczyk und Natalie Silvanovich von Googles Project Zero (CVE-2017-3068). Letztere war bereits an der Aufspürung der schwerwiegenden Lücke in Microsofts Virenscanner-Engine Defender Ende der letzten Woche beteiligt.
Immer wieder Probleme durch Flash-Player
Adobe steht mit seiner Plattform zur Programmierung sowie Darstellung multimedialer und interaktiver Inhalte bereits seit Längerem in der Kritik. Alleine in den letzten rund 14 Monaten sah sich Adobe gezwungen, über 100 Lücken im Flash-Player zu schließen.