Kritische LĂĽcke im Flash-Player: Adobe beginnt Update-Auslieferung
Adobe hat sich Zeit damit gelassen, eine schwerwiegende LĂĽcke im Flash-Player zu stopfen: Nun werden seit Samstag endlich ĂĽber den Auto-Updater sichere Versionen verteilt.
Adobe beginnt mit der Auslieferung von Updates für den Flash-Player, die eine seit Anfang der letzten Woche bekannte Sicherheitslücke (CVE-2015-0311) stopfen sollen. Die Version 16.0.0.296 werde laut Mitteilung seit dem 24. Januar an Nutzer der Flash-Laufzeitumgebung verteilt – sofern die Auto-Update-Funktion aktiviert ist. Eine Update-Fassung für den manuellen Download solle in der am 26. Januar beginnenden Woche folgen. Aktuell verwundbar sind unter Windows und Mac OS X die Versionen bis 16.0.0.287; unter Linux 11.2.202.438 und frühere.
Die als sehr kritisch eingestufte Lücke erlaubt Angreifern, aus der Ferne beliebigen Code in das System des Opfer einzuschleusen. Berichte legen nahe, dass das Leck auch bereits von Cyberganoven im Rahmen so genannter Exploit-Kits aktiv ausgenutzt wird. Das sind Baukästen, für die Erstellung von passend präparierten Web-Seiten, die kein technisches Wissen mehr erfordern, sondern mit GUI und Analysefunktionen auf die Bedürfnisse von Cyber-Gangs ohne großes Knowhow zugeschnitten sind. Diese Exploit-Kits werden im Internet teuer verkauft – professioneller Support und Updates inklusive. Das sorgt für massenhafte Verbreitung der Exploits. Umso erstaunlicher war es, dass Adobe mit dem Update letzten Mittwoch nicht zumindest auch einen schützenden Workaround verteilte.
Die Lücke erlaubt es, auch ein aktuelles Windows 8.1 mit Internet Explorer 11 zu kompromittieren, warnte deren Entdecker. Landet der Nutzer auf einer Webseite, auf der über Flash Schadcode verteilt wird – etwa durch Werbe-Banner von Drittseiten – ist es schon zu spät.
Wer das Flash-Update noch nicht einspielen kann, sollte Flash für die Zwischenzeit deinstallieren. Zum einen kann man dazu die Software auf dem üblichen Weg entfernen. Google Chrome bringt darüber hinaus eine eigene Kopie des Plug-ins mit, die man über die die URL chrome://plugins/ abschalten kann. Das gleiche gilt für den Internet Explorer unter Windows 8 und aufwärts. Den Dialog zum Deaktivieren erreicht man hier über das Zahnrad-Symbol oben rechts, "Add-Ons verwalten", "Shockwave Flash Object".
Wer nicht ganz auf Flash verzichten will oder kann, dem bieten die meisten Browser eine Option namens Click-to-play, die dafĂĽr sorgt, dass Plug-ins erst ausfĂĽhrt werden, nachdem man mit der Maus auf einen Platzhalter geklickt hat. Ob der derzeit genutzte Browser das Flash-Plugin ausfĂĽhrt, kann man bei Adobe testen.
[UPDATE, 25.01.2015, 18:05]
Inzwischen stellt Adobe auch die Version 16.0.0.296 fĂĽr Windows und Mac OS x sowie 11.2.202.440 fĂĽr Linux zum manuellen Download bereit. (axk)