Patchday: Adobe flickt mindestens 77 Lücken im Flash Player und AIR SDK

Inhaltsverzeichnis

Angreifer können den Flash Player bis Version 19.0.0.245 unter OS X und Windows und unter Linux bis Version 11.2.202.548 attackieren. Mit der Version 20.0.0.228 für OS X und Windows und 11.2.202.554 für Linux dichtet Adobe eigenen Angaben zufolge verschiedene Sicherheitslücken ab, die 77 CVE-Nummern zugeordnet sind. Darin sind auch Updates enthalten, die das AIR SDK sicherer machen sollen.

Die Zahl der CVE-Nummern kann man nicht immer ein zu eins auf die Anzahl von Sicherheitslücken übertragen, denn mitunter kommt es vor, dass eine CVE-Nummer mehrere Schwachstellen bezeichnet.

Adobe stuft alle Sicherheitsupdates als kritisch ein und Nutzer sollten die neue Version so schnell wie möglich installieren. Auf der About-Flash-Player-Webseite kann man die aktuell installierte Version einsehen. Linux-, OS-X- und Windows-Nutzer können sich auf einer Adobe-Webseite automatisch die passende Version herunterladen.

Flash Player bringt weitere Anwendung mit

Achtung: Aktuell will Adobe auf der Webseite zum Download des Flash Players Nutzern McAfee Security Scan Plus unterjubeln; der Punkt zum Download ist standardmäßig ausgewählt. Nutzer der Webbrowser Chrome, Edge und Internet Explorer 10 und 11 ab Windows 8 bekommen das Flash-Update automatisch zugespielt.

Admins können die vollständigen Installationsdateien in verschiedenen Formaten und für diverse Betriebssysteme einzeln zu Weiterverteilung herunterladen. Diesen Service will Adobe am 22. Janur 2016 in seiner jetzigen Form einstellen. Ab dann haben nur noch Business-Anwender mit einer gültigen Lizenz Zugriff auf die vollständigen Installationsdateien.

Kritische Lücken

Über alle im Dezember aufgelisteten Lücken im Flash Player können Angreifer über verschiedene Wege eigenen Code auf Computer schieben und ausführen, warnt Adobe. Das gelingt etwa durch diverser Pufferüberläufe. Im schlimmsten Fall wäre das Gerät unter der vollen Kontrolle eines Angreifers. Zudem können Angreifer verschiedene, nicht näher beschriebene Sicherheitsmechanismen umgehen. Ein Großteil der Schwachstellen hat abermals Googles Project Zero entdeckt. Die meisten Lücken haben dieses Mal jedoch Sicherheitsforscher des chinesischen Anbieters von Antiviren-Anwendungen Qihoo gefunden.

Update für AIR SDK

Die gefixte Version des AIR SDK 20.0.0.204 stellt Adobe Nutzern von Android-, iOS-, OS-X- und Windows-Systemen zur Verfügung. Das Gefahrenpotential sei aber nicht sehr hoch und Betroffene sollten das Update nach eigenem Ermessen einspielen.

[UPDATE, 09.12.2015 13:40 Uhr]

Weiteren Entdecker von Sicherheitslücken im Fließtext erwähnt.

Aktuell gibt es Verwirrungen um die aktuelle Flash-Version. Version 20.0.0.228 ist Adobe zufolge für den Internet Explorer und Version 20.0.0.235 für Firefox und Safari. (des)