Notfall-Patch schließt kritische Flash-Lücken außer der Reihe

Nur eine Woche ist seit dem Patch-Day vergangen, schon muss Adobe sein Flash-Plugin erneut patchen. Grund: Eine der Lücken wird bereits aktiv für Angriffe ausgenutzt.

In Pocket speichern vorlesen Druckansicht 132 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Adobe hat wie angekündigt einen Notfall-Patch (Version 10.3.183.10) für den Flash-Player veröffentlicht, der einige kritische Lücken schließt. Der Hersteller muss außerplanmäßig reagieren, da eine der Schwachstellen bereits aktiv für Angriffe ausgenutzt wird: Durch die Cross-Site-Scripting-Lücke können Angreifer die Same-Origin-Policy umgehen und so etwa auf das Webmailkonto des Opfers zugreifen oder seine Cookies stehlen. Hierzu muss der Angreifer sein Opfer lediglich auf eine präparierte Webseite locken.

Zu den übrigen fünf Lücken macht Adobe nur spärliche Angaben. Durch vier der Lücken kann ein Angreifer aus der Ferne Schadcode ins System schleusen, unter anderem durch zwei Stack-Overflow-Fehler. Durch die sechste Lücke gelangt der Angreifer an Informationen, auf die er keinen Zugriff haben dürfte (Information Disclosure).

Flash ist bis Version 10.3.183.7 unter allen Desktop-Betriebssystemen verwundbar. Unter Android sind alle Versionen einschließlich 10.3.186.6 angreifbar, die fehlerbereinigte Version trägt die Versionsnummer 10.3.186.7. Den in Chrome integrierten Flash-Player hat Google bereits vor zwei Tagen mit dem Update auf Chrome 14.0.835.186 auf den aktuellen Stand gebracht. Die derzeit installierte Version des Flash-Player kann man bei Adobe in Erfahrung bringen.

Die Flash-Bibliothek authplay.dll von Adobe Reader und Acrobat ist zumindest von der Cross-Site-Scripting-Lücke nicht betroffen. Ob sie für die anderen Schwachstellen anfällig ist, gab Adobe nicht bekannt. (rei)