Kritische Lücke im Flash-Player: Adobe beginnt Update-Auslieferung

Adobe beginnt mit der Auslieferung von Updates für den Flash-Player, die eine seit Anfang der letzten Woche bekannte Sicherheitslücke (CVE-2015-0311) stopfen sollen. Die Version 16.0.0.296 werde laut Mitteilung seit dem 24. Januar an Nutzer der Flash-Laufzeitumgebung verteilt – sofern die Auto-Update-Funktion aktiviert ist. Eine Update-Fassung für den manuellen Download solle in der am 26. Januar beginnenden Woche folgen. Aktuell verwundbar sind unter Windows und Mac OS X die Versionen bis 16.0.0.287; unter Linux 11.2.202.438 und frühere.

Die als sehr kritisch eingestufte Lücke erlaubt Angreifern, aus der Ferne beliebigen Code in das System des Opfer einzuschleusen. Berichte legen nahe, dass das Leck auch bereits von Cyberganoven im Rahmen so genannter Exploit-Kits aktiv ausgenutzt wird. Das sind Baukästen, für die Erstellung von passend präparierten Web-Seiten, die kein technisches Wissen mehr erfordern, sondern mit GUI und Analysefunktionen auf die Bedürfnisse von Cyber-Gangs ohne großes Knowhow zugeschnitten sind. Diese Exploit-Kits werden im Internet teuer verkauft – professioneller Support und Updates inklusive. Das sorgt für massenhafte Verbreitung der Exploits. Umso erstaunlicher war es, dass Adobe mit dem Update letzten Mittwoch nicht zumindest auch einen schützenden Workaround verteilte.

Die Lücke erlaubt es, auch ein aktuelles Windows 8.1 mit Internet Explorer 11 zu kompromittieren, warnte deren Entdecker. Landet der Nutzer auf einer Webseite, auf der über Flash Schadcode verteilt wird – etwa durch Werbe-Banner von Drittseiten – ist es schon zu spät.

Wer das Flash-Update noch nicht einspielen kann, sollte Flash für die Zwischenzeit deinstallieren. Zum einen kann man dazu die Software auf dem üblichen Weg entfernen. Google Chrome bringt darüber hinaus eine eigene Kopie des Plug-ins mit, die man über die die URL chrome://plugins/ abschalten kann. Das gleiche gilt für den Internet Explorer unter Windows 8 und aufwärts. Den Dialog zum Deaktivieren erreicht man hier über das Zahnrad-Symbol oben rechts, "Add-Ons verwalten", "Shockwave Flash Object".

Wer nicht ganz auf Flash verzichten will oder kann, dem bieten die meisten Browser eine Option namens Click-to-play, die dafür sorgt, dass Plug-ins erst ausführt werden, nachdem man mit der Maus auf einen Platzhalter geklickt hat. Ob der derzeit genutzte Browser das Flash-Plugin ausführt, kann man bei Adobe testen.

[UPDATE, 25.01.2015, 18:05]

Inzwischen stellt Adobe auch die Version 16.0.0.296 für Windows und Mac OS x sowie 11.2.202.440 für Linux zum manuellen Download bereit. (axk)