Erneut Zero-Day-Lücke in Flash

Durch eine kritische Lücke in der aktuellen Version des Flash-Players können Angreifer Schadcode ins System schleusen, warnt Adobe. Die Schwachstelle wird bereits aktiv ausgenutzt: Es ist ein Word-Dokument im Umlauf, in das eine infizierte Flash-Datei eingebettet wurde. Prinzipiell kann man sich aber auch etwa durch den Besuch einer Website einen Schädling einfangen.

Verwundbar sind alle Flash-Versionen einschließlich der aktuellen 10.2.153.1 für Windows, Mac OS, Linux und Solaris. Auch die in Chrome enthaltene Version 10.2.154.25, 10.2.156.12 für Android sowie die Flash-Engine von Acrobat und Reader (Authplay.dll) sind anfällig. Erst vor einem Monat wurde eine andere Zero-Day-Lücke in Flash bekannt, die durch infizierte Excel-Dateien ausgenutzt wurde. Adobe hat das Loch innerhalb einer Woche geschlossen, Google war sogar noch etwas schneller.

Der Patch für die aktuelle Bedrohung befindet sich noch in der Entwicklung. Den Reader X will Adobe erst am nächsten planmäßigen Patchday am 14. Juni schließen, da die Sandbox des PDF-Betrachters die Ausführung des Schadcodes erfolgreich verhindere. (rei)