Patchday: Adobe stopft kritische Flash-Lücke
Adobe hat mehrere Sicherheitsprobleme mit dem Flash Player, in ColdFusion und in Flex behoben. Besonders das Flash-Update sollte zügigst installiert werden, da eine der Lücken bereits für Angriffe missbraucht wird.
- Fabian A. Scherschel
Neben Microsoft hat auch Adobe den April-Patchday genutzt, um Sicherheitsupdates für seine Software zu verteilen. Die Firma hat Sicherheitslücken in Flash und den beiden App-Frameworks Flex und ColdFusion geschlossen. Besonders das Flash-Update sollte auf Grund von aktiven Angriffen so schnell wie möglich eingespielt werden.
Das Flash-Update schließt eine ganze Hand voll von Lücken, die meisten davon ermöglichen es Angreifern, von außen Schadcode auf dem System des Opfers auszuführen. Eine der Lücken (CVE-2015-3043) wird als besonders kritisch hervorgehoben – hier hat Adobe aktive Angriffe auf Nutzer ausgemacht, welche auf der entsprechenden Schwachstelle beruhen. Die Firma rät Flash-Nutzern deshalb dringend dazu, die Software auf den neuesten Stand zu bringen.
Betroffen sind die Flash-Komponenten auf allen drei Betriebssystemen: Windows, Mac OS und Linux. Verwundbar sind die Versionen 11.2.202.451 und früher, 13.0.0.277 und früher sowie 17.0.0.134 und früher. Die auf dem eigenen System verwendete Version kann auf einer Seite von Adobe geprüft werden. Über diese Seite lassen sich auch die entsprechenden Updates herunterladen. Flash für Google Chrome wird automatisch aktualisiert. Nutzer von Internet Explorer 10 für Windows 8 und IE 11 für Windows 8.1 werden ebenfalls vollautomatisch mit Updates versorgt.
Das Update für ColdFusion betrifft die Versionen 10 und 11 des Web-App-Frameworks. Hier wird eine Lücke in der Input-Prüfung geschlossen, die Angreifer für Cross-Site-Scripting (XSS) missbrauchen könnten. Ein ähnliches XSS-Problem wurde im App-Framework Flex behoben. (fab)
