Microsoft warnt vor Lücke in alter Flash-Player-Version
Eine Lücke im standardmäßig in Windows XP enthaltenen Player 6 gefährdet die Sicherheit. Ein funktionierendes Update gibt es von Microsoft nicht, stattdessen sollen die Nutzer den alten Player deinstallieren und die aktuelle Version von Adobe installieren.
- Daniel Bachfeld
Parallel zu dem gestrigen Sicherheits-Update hat Microsoft noch einen Hinweis auf eine kritische Lücke im ActiveX-Control des standardmäßig in Windows XP enthaltenen Flash Player 6.x hingewiesen. Die Lücke soll es Angreifern ermöglichen, durch präparierte Webseiten den PC eines Besuchers mit Schädlingen zu infizieren. Ein funktionierendes Update gibt es von Microsoft nicht, stattdessen empfiehlt der Hersteller, den alten Player zu deinstallieren und die aktuelle Version (10.0.42.34) von Adobe zu installieren.
Ein von Adobe zum Download angebotenes Tool soll bei der Deinstallation der Plug-ins und des ActiveX-Controls helfen. In der Praxis genügt es aber, die aktuelle Version zu installieren – sie überschreibt das fehlerhafte ActiveX-Control einfach.
Wer denkt, dass man die Version 6 eigentlich auf keinem Rechner mehr antreffen dürfte, wird von der Auswertung des Update-Checks auf heise Security eines Besseren belehrt. Bei den in den ersten 30 Tagen durchgeführten rund 140.000 Tests war fast 16.000-mal der verwundbare (Macromedia) Flash Player 6 zu finden. Außer in Windows XP hat Microsoft in keiner anderen Windows-Version den Flash Player ab Werk integriert.
Secunia hat zu Microsofts Sicherheitshinweis einen etwas erhellenden Fehlerbericht veröffentlicht, in dem insbesondere die Chronik der Reaktion auf die Lücke festgehalten ist. Demnach hat Secunia Microsoft bereits am 18. Oktober 2007 über die Lücke informiert. Microsoft hat zwar mit dem Update MS06-069 versucht, das Problem zu beheben, laut Secunia jedoch erfolglos. Dann folgte ein rund zwei Jahre währender Informationsaustausch zwischen Secunia, Microsoft und Adobe – letztlich jedoch ohne ein konkretes Ergebnis, wenn man von dem jetzigen Hinweis, den Player zu deinstallieren, absieht. Adobe hat den Support für Version 6 ohnehin im Jahr 2006 eingestellt. Vermutlich hat Microsoft gehofft, dass Anwender sich selbstständig aktuellere Versionen installieren.
Laut Secunia enthält das alte ActiveX-Control noch weitere kritische Lücken, die in neueren Version längst behoben sind.
Siehe dazu auch:
- Vulnerabilities in Adobe Flash Player 6 Provided in Windows XP Could Allow Remote Code Execution, Warnung von Microsoft
- Microsoft Windows Flash Player Movie Unloading Vulnerability, Bericht von Secunia
- Windows XP Macromedia Flash 6 ActiveX control memory corruption vulnerability, Warnung des US-CERT
- Drei unsichere Programme pro Update-Check
(dab)
