Adobe patcht Flash schon wieder

Nur eine Woche nach dem vergangenen Sicherheitsupdate muss Adobe erneut kritische Lücken in seinem Flash-Player schließen. Das neue Update hat sich durchaus in sich: insgesamt sechs CVE-Nummer listet Adobe in dem Advisory auf, die meisten der Lücken eigenen sich zum Einschleusen von Schadcode. Dabei handelt es sich um einen Integer Overflow und mehrere nicht präziser beschriebene Speicherfehler.

Betroffen sind sämtliche Ausgaben des Flash Players – einschließlich der abgekündigten Android-Versionen, die Adobe nur noch mit Sicherheitsupdates versorgt. Auch die AIR-Laufzeitumgebung sowie das dazugehörige AIR-SDK enthalten die Lücken. Das bezieht auch die AIR-Runtime für iOS mit ein, die in einigen Apps enthalten ist; diese zu aktualisieren ist allerdings Aufgabe der App-Enwickler.

Aktuell sind die Flash-Versionen 11.4.402.265 für Windows und Mac OS X, 11.2.202.238 für Linux, 11.1.115.17 für Android 4.x sowie 11.1.111.16 für Android 3.x. Google hat das neue Flash bereits in die aktuelle Chrome-Version eingebaut und darüber hinaus noch ein paar Bugs in seinem Browser behoben.

Bei AIR ist die Version 3.4.0.2540 für alle Plattformen aktuell. Laut Adobe wurden die Schwachstellen vertraulich von Sicherheitsexperten gemeldet. Das Unternehmen hat das Flash-Update für Windows in die höchste Prioritätsklasse eingeteilt, was bedeutet, dass man es so schnell wie möglich installieren soll.

Update vom 22.08.2012, 16:12: Die Angaben zu der aktuellen Versionsnummer von Adobe AIR wurde korrigiert. (rei)