Adobe verteilt wichtiges Sicherheits-Updates für Flash – zumindest etwas

Adobe hat mit der Auslieferung des Updates begonnen, das die kritische Schwachstelle im Flash Player stopfen soll. Die Version 16.0.0.305 wird derzeit nur über den Auto-Updater verteilt – der manuelle Download soll im Laufe des Donnerstags möglich werden.

In Pocket speichern vorlesen Druckansicht 200 Kommentare lesen
Adobe stellt Update für kritische Lücke im Flash-Player bereit
Lesezeit: 2 Min.

Adobe verteilt seit kurzem die Flash-Version 16.0.0.305, das die seit Montag bekannte Zero-Day-Lücke schließen soll. Da die Lücke bereits aktiv ausgenutzt wird, sollten Flash-Nutzer nicht zögern, das Update zu installieren. Aktuell wird es allerdings nur über den Update-Manager des Flash Players verteilt, der manuelle Download soll noch im Laufe des Donnerstags zur Verfügung stehen. Auch die Aktualisierung für die integrierten Flash-Versionen in Chrome und dem Internet Explorer 10 und 11 lassen noch auf sich warten.

Betroffen sind Adobe zufolge die Versionen 16.0.0.296 und älter für Windows und Mac OS X sowie die Version 13.0.0.264 und älter. Steht die Aktualisierung noch nicht bereit, sollte das Plug-in vorsichtshalber deaktiviert werden.

Inzwischen sind weitere Details zu der Natur der Lücke bekannt. Laut einer Analyse von Trend Micro handelt es sich um eine Use-after-Free-Lücke, die beim Zusammenspiel von Hauptprozess und Workern in einer Multithread-Anwendung entsteht. Durch die Schwachstelle kann ein Angreifer beliebigen Code zur Ausführung bringen. Auch zu den beobachteten Angriffen gibt es neue Details: Demnach wird die Schwachstelle bereits seit Anfang Dezember von Cyber-Kriminellen missbraucht.

Der Angriffscode wird von einem Exploit-Kit namens HanJuan ausgeliefert. Er wird über ein Anzeigennetzerwerk verteilt und hat es so sogar auf prominente Webseiten wie das Videoportal DailyMotion geschafft. Da er dem Exploit zur Lücke CVE-2015-0311 stark ähnelt, geht Trend Micro davon aus, dass er von der gleichen Person entwickelt wurde. Die Sicherheitsfirma hat dem Exploit auf Google Chrome losgelassen und berichtet, dass er zwar die Flash-Lücke ausnutzen, nicht aber aus der Sandbox ausbrechen kann.

Adobe liefert mit dieser Aktualisierung bereits den vierten Patch für den Flash Player in diesem Jahr aus. Das letzte Update liegt erst eineinhalb Wochen zurück.

[UPDATE, 05.02.2015, 12 Uhr]

Inzwischen steht Version 16.0.0.305 auch über die reguläre Download-Seite zur Installation bereit.

[UPDATE, 05.02.2015, 13:45 Uhr]

Aktuell hat Adobe den Downloadlink für den Flash Player 16.0.0.305 noch nicht korrekt angepasst und verteilt fälschlicherweise immer noch die unsichere Version 16.0.0.296. Den gleichen Fehltritt leisteten sie sich schon bei der Verteilung der letzten Aktualisierung.
(des)