zurück zum Artikel

In der aktuellen Version des Flash-Players befindet sich eine kritische Sicherheitslücke, die von Kriminellen bereits ausgenutzt wird.

Durch eine kritische Lücke in der aktuellen Version des Flash-Players können Angreifer Schadcode ins System schleusen, warnt Adobe [1]. Die Schwachstelle wird bereits aktiv ausgenutzt: Es ist ein Word-Dokument im Umlauf [2], in das eine infizierte Flash-Datei eingebettet wurde. Prinzipiell kann man sich aber auch etwa durch den Besuch einer Website einen Schädling einfangen.

Verwundbar sind alle Flash-Versionen einschließlich der aktuellen 10.2.153.1 für Windows, Mac OS, Linux und Solaris. Auch die in Chrome enthaltene Version 10.2.154.25, 10.2.156.12 für Android sowie die Flash-Engine von Acrobat und Reader (Authplay.dll) sind anfällig. Erst vor einem Monat wurde eine andere Zero-Day-Lücke [3] in Flash bekannt, die durch infizierte Excel-Dateien ausgenutzt wurde. Adobe hat das Loch innerhalb einer Woche geschlossen [4], Google war sogar noch etwas schneller [5].

Der Patch für die aktuelle Bedrohung befindet sich noch in der Entwicklung. Den Reader X will Adobe erst am nächsten planmäßigen Patchday am 14. Juni schließen, da die Sandbox des PDF-Betrachters die Ausführung des Schadcodes erfolgreich verhindere. (rei [6])

URL dieses Artikels:
https://www.heise.de/-1226150

Links in diesem Artikel:
[1] http://www.adobe.com/support/security/advisories/apsa11-02.html
[2] http://contagiodump.blogspot.com/2011/04/apr-8-cve-2011-0611-flash-player-zero.html
[3] https://www.heise.de/news/Adobe-warnt-vor-Zero-Day-Luecke-in-Flash-und-Reader-1208147.html
[4] https://www.heise.de/news/Updates-fuer-Flash-Player-und-Adobe-Reader-1212317.html
[5] https://www.heise.de/news/Google-schliesst-Flash-Luecke-schneller-als-Adobe-1209825.html
[6] mailto:rei@heise.de

Copyright © 2011 Heise Medien