Hacking Team: Adobe veröffentlicht Notfall-Update für Flash Player
Die Spionage-Tools von Hacking Team nutzten seit Jahren eine Schwachstelle in Flash aus. Das Notfall-Update steht noch nicht global zur Verfügung.
Adobe sieht sich durch den Einbruch in das Computersystem der Hersteller von Überwachungs-Software Hacking Team gezwungen, ein Notfall-Update für den Flash Player zu veröffentlichen. Denn die erbeuteten Dokumente haben unter anderem zutage gefördert, dass die Spionage-Tools der Firma eine bislang unentdeckte Flash-Lücke (CVE-2015-5119) ausnutzen.
Hacking Team prahlt in den geleakten Dokumenten und bezeichnet die Schwachstelle als "The most beautiful Flash bug for the last four years". Adobe zufolge nutzen Angreifer die Schwachstelle derzeit aktiv aus. Die Aktualisierung mit der Kennung 18.0.0.203 soll noch am heutigen Tag zum Download bereitstehen.
Manuelles Update schon verfügbar
Verwundbar sind alle Flash-Versionen bis inklusive 18.0.0.194 unter Linux, OS X und Windows. Welche Version installiert ist, kann man auf der About-Flash-Player-Webseite von Adobe einsehen. Dort steht zudem das Update bereit – wenn es verfügbar ist; was aktuell noch nicht der Fall ist. Chrome-Nutzer bekommen die Aktualisierung automatisch. Auch Nutzer des Internet Explorers unter Windows 8/Server 2012 oder neuer erhalten die neue Version automatisch. Läuft der Internet Explorer unter Windows 7 oder Vista, muss man manuell updaten.
Auf der Weiterverteilungs-Webseite des Flash Players ist zwar aktuell noch die verwundbare Version ausgeschrieben. Klickt man aber auf die Windows-Downloads, erhält man bereits die gepatchte Version 18.0.0.203.
Sandbox von Chrome umgehen
Adobe zufolge können Angreifer über die Schwachstelle Abstürze verursachen und Computer komplett übernehmen. Dem fügt Sicherheitsforscher Brian Krebs zufolge hinzu, dass Angreifer etwa den Sandbox-Schutz von Chrome umgehen können, der dafür entwickelt wurde, Attacken gegen den Flash Player zu blocken. Ein Google-Sprecher habe dies gegenüber Krebs bestätigt und darauf hingewiesen, dass der Exploit in Verbindung mit einer bisher ungepatchten Sicherheitslücke in Windows funktioniert.
[UPDATE, 08.07.2105 17:00 Uhr]
Mittlerweile hat Adobe verkündet, dass das Flash-Player-Update 18.0.0.203 noch 35 weitere Sicherheitslücken schließt. Einen Großteil davon hat das Team hinter Googles Project Zero entdeckt. (des)