Adobe patcht Zero-Day-Lücke in Flash
Durch eine Cross-Site-Scripting-Lücke im Flash-Plugin können Angreifer die Kontrolle über personalisierte Webseiten des Opfers übernehmen. Betroffen sind alle Plattformen.
- Ronald Eikenberg
Adobe hat gestern die Sonntagsruhe unterbrochen, um schnellstmöglich eine Cross-Site-Scripting-Lücke in Flash zu schließen, die bereits aktiv ausgenutzt wird. Durch die Lücke kann ein Angreifer Kontrolle über personalisierte Webseiten des Opfers übernehmen, also etwa dessen Webmail-Zugang kapern. Dazu muss er ihn zuvor nur auf eine präparierte Webseite locken. Genauere Angaben macht der Hersteller nicht.
Verwundbar sind die Flash-Versionen 10.3.181.16 für Windows, Mac OS X, Linux, Solaris und Android. Adobe rät allen Anwendern, die aktuelle Version 10.3.181.22 umgehend zu installieren. Nutzer des Internet Explorer müssen zudem noch das ActiveX-Plugin aktualisieren, das bereits bei Versionsnummer 10.3.181.23 angelangt ist. Welcher Version der Browser derzeit nutzt, erfährt man bei Adobe.
Google hat ebenfalls schon reagiert und mit Chrome 11.0.696.77 eine aktualisierte Version seines Browsers veröffentlicht, welche den aktualisierten Flash-Player enthält. Das Update installiert sich beim Schließen des Browsers automatisch, die aktuelle Version kann man über das Schraubenschlüssel-Symbol und einen Klick auf "Info zu Google Chrome" abfragen. Android-Nutzer müssen sich noch gedulden: Adobe will die Smartphone-Version erst im Laufe dieser Woche auf den neuesten Stand bringen. Derzeit untersucht der Hersteller noch, ob auch Reader und Acrobat durch ihr Flash-Plugin angreifbar sind.
Siehe dazu auch:
- Adobe Flash Player im heise Software-Verzeichnis
(rei)
