Adobe schließt schwerwiegende Zero-Day-Lücke in Flash Player

Sie wird bereits aktiv ausgenutzt. Ein Angreifer kann die vollständige Kontrolle über ein betroffenes System übernehmen. Als Einfallstor dient Microsoft Office.

Adobe hat ein außerplanmäßiges Sicherheitsupdate für den Flash Playerveröffentlicht. Es soll zwei Schwachstellen beseitigen, von denen eine als kritisch eingestuft und die andere als „wichtig“ bewertet wurde. Die kritische Anfälligkeit ist zudem eine Zero-Day-Lücke – für sie ist bereits ein Exploit im Umlauf.

Ein Angreifer, der die beiden Fehler ausnutzt, kann unter Umständen Schadcode einschleusen und ausführen und zusätzlich eine nicht autorisierte Ausweitung von Nutzerrechten erreichen. Davon betroffen sind die Flash Player Desktop Runtime Version 31.0.0.153 und früher für Windows, macOS und Linux, Flash Player für Google Chrome Version 31.0.0.153 und früher für Windows, macOS, Linux und Chrome OS sowie Flash Player für Edge und Internet Explorer 11 31.0.0.153 und früher unter Windows 10 und 8.1. Darüber hinaus ist auch der Adobe Flash Player Installer für Windows angreifbar.

Adobes Sicherheitswarnung zufolge steckt in den angreifbaren Versionen ein Use-after-free-Bug, der besagte Remotecodeausführung erlaubt. Zudem ist der Flash Player anfällig für DLL-Hijacking. Dabei wird einer Anwendung eine unsichere Bibliothek (DLL-Datei) untergeschoben.

Wie Threatpost berichtet, wurde der Use-after-free-Bug vom Sicherheitsanbieter Gigamon entdeckt, und zwar in einem Microsoft-Office-Document namens 22.docx. Dabei soll es sich um eine angebliche Bewerbung für eine Stelle in einer staatlichen Russischen Gesundheitsklinik handeln. Wird das Dokument geöffnet und der eingebettete Flash-Inhalt ausgeführt, kann ein Angreifer ein System per Befehlszeile kontrollieren.

Die Gigamon-Forscher kritisieren in dem Zusammenhang, dass es trotz der abnehmenden Verbreitung von Flash-Inhalten und des Flash Players immer noch möglich ist, Microsoft Office als Angriffsvektor für Flash-Lücken zu verwenden. Solange es solche Angriffsmöglichkeiten gebe, die eine zuverlässige Ausnutzung von Schwachstellen erlaubten, werde es auch Angriffe auf den Flash Player geben.

Adobe rät betroffenen Nutzern, so schnell wie möglich auf die fehlerbereinigte Version 32.0.0.101 des Flash Players umzusteigen. Sie liegt für Windows, macOS und Linux vor. Die Aktualisierung erfolgt über die Update-Funktion des Flash-Players oder das Flash Player Download Center. Darüber hinaus verteilen Google und Microsoft das Update an die Nutzer ihrer jeweiligen Browser Chrome, Edge und Internet Explorer 11.

36W Lenovo ThinkPad 10,20C1/20C3 Tablet Netzteile/Adapters
K00F5 DELL 9575 9570 Type-C USB-C Netzteile/Adapters
GNG-E20 akkus für Gigabyte Ultrabook U21MD serie
ADP-330AB D Clevo P570WM P377SM-A 330W Gaming Netzteile/Adapters
AP13G3N akkus für Acer Iconia W3-810 W3-810P Tablet
061384 061385 akkus für BOSE SOUNDLINK Mini serie
063404 akkus für BOSE SOUNDLINK Mini I serie
9TV5X akkus für Dell XPS 12 9250 Latitude 12 7275 serie
A1406 akkus für Apple MacBook Air 11″ A1370 2011 2012
A1406 A1370 akkus für MacBookAir5.1 MacBook Air 11″