Flash Player: Adobe behebt 25 kritische Lücken

Bereits vor zwei Tagen hatte Adobe vor einer schweren Zero-Day-Lücke im Flash Player gewarnt, mit der Angreifer die vollständige Kontrolle des Systems erhalten können. Jetzt hat das Unternehmen einen Patch veröffentlicht, der weitere 24 schwerwiegende Fehler behebt.

Lücke wird bereits für Angriffe genutzt

Von der Lücke betroffen seien laut Adobe der Flash Player in der Version 21.0.0.226 und 18.0.0.343 und älter für Windows und OS X sowie die Version 11.2.202.616 für Linux. Bei den Browsern sind die Plug-ins 21.0.0.216 für Chrome sowie 21.0.0.213 für Edge und Internet Explorer 11 unter Windows 10 und Internet Explorer 11 unter Windows 8.1 betroffen. Darüber hinaus sind Adobe AIR, das AIR SDK und das AIR SDK inklusive Compiler 21.0.0.198 ebenfalls durch mögliche Angriffe gefährdet. Laut Adobe wird die Lücke bereits für Angriffe ausgenutzt.

Die restlichen 24 Lücken eignen sich ebenfalls, um Schadcode auf den betroffenen Systemen auszuführen und reichen von Pufferüberläufen und Speicherfehler bis hin zu Use-after-free-Bugs.

Adobe rät allen Nutzern des Flash Players diesen über die integrierte Update-Funktion oder das Flash-Player-Download-Center auf Version 21.0.0.242 oder 18.0.0.352 (Extended Support Release) für Windows und OS X sowie 11.2.202.621 für Linux zu aktualisieren. Updates für die entsprechenden Browser-Plug-ins stehen seit einiger Zeit zur Verfügung. Chrome-Nutzer sollten den Browser auf die Version 50 aktualisieren, die die bereinigte Version 21.0.0.242 ebenfalls beinhaltet.

Große Anzahl schwerwiegender Lücken in Acrobat und Reader

Bereits in der letzten Woche hatte Adobe über 90 Lücken in den Programmen Acrobat DC und Acrobat Reader DC für Windows und OS X in den Versionen 15.010.20060 oder früher sowie in der klassischen Version 15.006.30121 und früher beseitigt. Gleiches gilt für die älteren Desktop-Versionen von Acrobat XI und Reader XI in der Version 11.0.15 und älter. Auch hier war es Angreifern möglich Schadcode einzuschleusen und darüber Kontrolle über die jeweiligen Systeme zu erhalten. Darüber hinaus ermöglichte der Fehler das Einsehen von persönlichen Informationen und das Umgehen der Ausführungseinschränkungen des JavaScript-API.

Auch in diesem Fall sollten Nutzer schnellstens auf aktualisierte Versionen umsteigen. Updates stellt Adobe mit den Versionen 15.016.20039 sowie 15.006.30172 für die klassischen Varianten von Acrobat DC und Reader DC für Windows und OS X zur Verfügung. Acrobat XI und Reader XI stehen in der bereinigten Version 11.0.16 ebenfalls bereits.

Probleme mit Flash reißen nicht ab

Die Probleme mit dem Flash Player reißen auch mit den jetzt gefundenen Lücken nicht ab. Erst Anfang März musste der Softwarehersteller 23 als kritisch eingestufte Lücken in der Software schließen. Anfang des letzten Monats folgte ein Notfall-Patch für eine gefundene schwere Zero-Day-Lücke, mit dem insgesamt 24 schwerwiegende Lücken geschlossen wurden.