Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Flash-Update schließt insgesamt 18 Lücken, jetzt für alle Plattformen

Nach anfänglichen Startschwierigkeiten kommt nun fast jeder, der möchte, in den Genuss der abgesicherten Flash-Versionen. Adobe gab bekannt, dass sie gleich eine ganze Reihe von Sicherheitslöchern stopfen.

In Pocket speichern vorlesen Druckansicht 168 Kommentare lesen
Flash-Update schließt insgesamt 18 Lücken, jetzt für alle Plattformen
Lesezeit: 3 Min.
Security
Von
  • Ronald Eikenberg

Der Umfang des neuesten Sicherheitsupdates für Flash ist deutlich größer als erwartet: Neben der bereits ausgenutzten Lücke schließt die Flash-Version 16.0.0.305 insgesamt 17 weitere Schwachstellen. Darunter befinden sich Speicherfehler, Buffer Overflows und Use-after-Free-Lücken, die sich allesamt zum Einschleusen von Schadcode eignen.

Die gute Nachricht ist, dass diese laut Adobe bislang nicht für Online-Angriffe missbraucht werden. Die meisten wurden vertraulich von Sicherheitsforschern gemeldet, etwa aus Googles Expertenteam Project Zero. Wie jedes Sicherheitsupdate liefert allerdings auch dieses Angreifern wertvolle Informationen über die geschlossenen Lücken. Für Nutzer älterer Flash-Versionen spitzt sich die Lage also weiter zu.

Updates für Windows, Mac OS X und Linux

Wer den Flash-Player installiert und noch nicht aktualisiert hat, sollte das also schleunigst tun. Inzwischen stehen abgesicherte Versionen für alle unterstützten Plattformen bereit:

  • Flash Player für Windows und Mac OS X (aktueller Versionszweig): Version 16.0.0.305
  • Flash Player Extended Support Release (13.x): Version 13.0.0.269
  • Flash Player für Linux: Version 11.2.202.442

Google Chrome bringt eine eigene Kopie des Flash-Player mit und bringt diese mit dem gerade veröffentlichten Update auf Chrome 40.0.2214.111 automatisch auf den aktuellen Stand. Wer den Internet Explorer unter Windows 8.x nutzt, dem sind derzeit noch die Hände gebunden: Microsoft hat die neue Flash-Version am Donnerstagabend noch nicht über Windows Update verteilt. Betroffene Nutzer sollten Flash auf Eis legen, bis das Update bereitsteht.

Admins aufgepasst

Für Verwirrung sorgt weiterhin Adobes bei Admins beliebte Download-Übersicht, die Direktlinks zu allen Dateien enthält. Bei einem Test von heise Security enthielten die Windows-Versionen der Browser-Plug-ins noch die verwundbare Version 16.0.0.296, während über den Online-Installer, den man auf der regulären Download-Seite findet, bereits die aktuelle Version ausgeteilt wurde.

Microsoft verteilt das Flash-Update als KB3021953 via Windows Update. Es kümmert sich allerdings nur um den Internet Explorer, separate Flash-Installation (etwa für Firefox) muss man selbst pflegen.

Update vom 6. Februar, 10 Uhr: Inzwischen liefert Microsoft das Flash-Update für den Internet Explorer unter Windows 8.x via Windows Update aus.

Apple hat mit einem Update für den Plug-in-Filter von Mac OS X reagiert. Es sorgt dafür, dass alle Flash-Versionen blockiert werden, die älter als 16.0.0.305 und 13.0.0.269 sind.

Siehe hierzu auch:

  • "Goodbye Flash!", Editorial zum Update-Chaos in der aktuellen c't 5/15

(rei)

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten