Adobe flickt kritische Zero-Day-Lücke in Flash

Adobe warnt vor einer kritischen Lücke im Flash Player, zum zweiten Mal in diesem Monat. Nutzer sollten schnellstmöglich updaten, denn die Lücke wird aktiv für Angriffe ausgenutzt.

In Pocket speichern vorlesen Druckansicht 82 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Fabian A. Scherschel

Adobe warnt das zweite Mal in diesem Monat vor einer kritischen Lücke im Flash Player, die bereits für Angriffe ausgenutzt wird. Angreifer können die Sicherheitslücke missbrauchen, um beliebigen Schadcode auf den Rechnern ihrer Opfer auszuführen. Die Firma hat einen Notfallpatch veröffentlicht und empfiehlt allen Nutzern, das Update so schnell wie möglich einzuspielen. Von der Lücke betroffen sind die Flash-Versionen für Windows, Mac OS X und Linux.

Wie Adobe in dem zu der Lücke veröffentlichten Security Bulletin APSB14-07 mitteilt, sollten Windows- und Mac-Nutzer auf Flash Player 12.0.0.70 aktualisieren. Linux Nutzer sollten Version 11.2.202.341 installieren. Die Updates können auf Adobes Flash-Player-Seite heruntergeladen werden. Nutzer von Chrome und Internet Explorer 10 und 11 erhalten das Update ab Windows 8 wie immer automatisch. Nutzer von Adobe AIR sollten auf Version 4.0.0.1628 aktualisieren.

Wie die Sicherheitsfirma FireEye berichtet, wird auf mehreren US-Webseiten Schadcode verteilt, der die Flash-Lücke ausgenutzt und auf den Rechnern der Opfer ausgeführt wird. Um die ASLR-Speicherverwürfelung zu umgehen, nutzen die Ganoven auf Windows XP und Windows 7 verschiedene Return-Oriented-Programming-Ansätze. Diese missbrauchen entweder die Visual-C- und Visual-C++-Runtimes oder greifen eine Schwachstelle in einer veraltete Java-Version an, die mit Office 2007 und 2010 ausgeliefert wird. (fab)