Flash: Unseren monatlichen Patch gib uns heute
Adobe veröffentlicht wieder Sicherheits-Updates für den Flash-Player, diesmal ausnahmsweise nicht außer der Reihe. Eine wesentliche Lücke bleibt dabei aber ungestopft.
- Gerald Himmelein
Zwei Wochen nach der letzten Aktualisierung des Flash-Players ist der nächste Patchday gekommen. Waren zuletzt nur Mac OS und Windows betroffen, sind diesmal alle dran : Android 2/3/4, Linux, Mac OS und Windows sowie sämtliche AIR-Laufzeitbibliotheken und das Air-SDK. Die höchste Priorität gibt das Security Bulletin APSB13-09 dem Update der Windows-Version vom bisherigen Build 11.6.602.171 auf die neue Revision 11.6.602.180, gefolgt von der Version für Mac OS.
Drei der durch den Patch gestopften Lücken können zur Ausführung eigenen Codes führen: CVE-2013-0646 führt zu einem Ganzzahlüberlauf, CVE-2013-1371 verursacht einen Speicherfehler und CVE-2013-1375 einen Speicherüberlauf. Die vierte Lücke mit der ID CVE-2013-0650 lässt sich dazu missbrauchen, beliebigen Code auszuführen. Momentan zeigt die Datenbank der Common Vulnerabilities and Exposures (CVE) für diese IDs nur Platzhalter; Details dürften bald folgen.
Die Entdeckung der Lücke zur Ausführung beliebigen Codes wird Attila Suszter zugeschrieben. Der Ganzzahlenüberlauf wurde Adobe anonym über Verisigns iDefense-Dienst übermittelt. Für die Entdeckung der anderen beiden Bugs dankt Adobe dem Google Security Team.
Adobe rät Anwendern mit Linux, Mac OS und Windows, die Aktualisierungen entweder über den optionalen Auto-Updater einzuspielen oder das Flash Player Download Center zu nutzen. Windows-Anwendern sei dazu geraten, vor dem Klick auf "Jetzt herunterladen" die Option "Ja, McAfee Security Scan Plus installieren" zu deaktivieren. Linux-Anwender finden den für sie aktuellen Flash Player 11.2.202.275 im Flash-Player-Archiv. Hier finden sich auch aktualisierte Versionen für Flash Player 10.3 (Build 10.3.183.68).
Besitzer von Android-Geräten finden die aktuellen Revisionen der AIR-Laufzeitumgebung und des Flash-Players im Google Play Store. Die aktuellen Mac- und Windows-Versionen von AIR 3.6 (Build 3.6.0.6090) erhält man im Download-Center für AIR. Chrome und Internet Explorer 10 sollten sich sich automatisch aktualisieren. Bei Chrome ist die Revisionsnummer 25.0.1364.172 aktuell.
Anders als beim letzten Mal handelt es sich diesmal um das reguläre monatliche Update, also nicht um einen Notfall-Patch. Es ist allerdings nicht auszuschließen, dass Adobe einen solchen auch in diesem Monat wieder nachschieben muss: Einem Tweet der Sicherheitsfirma Vupen zufolge flickt der aktuelle Patch die von Vupen beim diesjährigen Pwn2Own-Wettbewerb genutzte Flash-Sicherheitslücke nicht. Etwas spitzbübisch fragt Vupen auf Twitter: "Im nächsten Monat?" (ghi)
