Adobe schließt kritische Lücke im Flash-Player
Adobe warnt vor einer kritischen Lücke im Flash-Player, die dazu führen kann, dass ein Angreifer die Kontrolle über ein System erlangt, das präparierte SWF-Dateien anzeigt.
Adobe warnt vor einer kritischen Lücke im Flash-Player, die dazu führen kann, dass ein Angreifer die Kontrolle über ein System erlangt. Für das Ausnützen dieser Schwachstelle genügt es, dass ein Anwender eine Web-Seite mit einer eingebetteten Flash-Animation in einem Browser mit Flash-Plug-in öffnet. Der Angreifer kann dann eigenen Code mit den Rechten des angemeldeten Benutzers ausführen. Betroffen sind die Flash-Versionen bis 8.0.22.0, ein Update auf 8.0.24.0 beziehungsweise 7.0.63.0 schließt die Lücke. Auch für Shockwave stellt Adobe eine fehlerbereinigte Version 10.1.1 bereit. Ob außer Windows auch Linux- beziehungsweise Solaris-Systeme betroffen sind, geht nicht eindeutig aus der Warnung hervor; jedenfalls gibt es auch für diese Plattformen aktualisierte Pakete.
Das Sicherheitsloch wurde von Microsoft entdeckt; die Redmonder warnen sogar in einem eigenen Advisory und beschreiben dort auch alternative Schutzmaßnahmen für den Internet Explorer, die bis zur Deinstallation des Plug-in reichen. Konkrete Informationen darüber, was den Fehler eigentlich verursacht, stellen jedoch weder Microsoft noch Adobe bereit. Trotzdem ist damit zu rechnen, dass sehr bald erste Exploits auftauchen, die die Schwachstelle ausnutzen, sodass ein zügiges Update anzuraten ist.
Siehe dazu auch: (ju)
- APSB06-03 Flash Player Update to Address Security Vulnerabilities von Adobe
- Security Advisory (916208) von Microsoft
