Adobe schließt Sicherheitslücken in Flash und Shockwave

Für die Anwendungen Flash Player, Shockwave Player und AIR hat Adobe Updates herausgegeben, die insgesamt vier Sicherheitslücken schließen. Für eine Lücke in älteren Versionen des Flash Players liegt bereits ein Exploit vor. Adobe schweigt sich jedoch darüber aus, ob dieser bereits ausgenutzt wird.

Die Verwundbarkeiten im Flash Player gelten als kritisch und betreffen die Versionen Adobe Flash Player 11.9.900.152 und frühere für Windows und Mac OS, Adobe Flash Player 11.2.202.327 und frühere für Linux sowie Adobe AIR 3.9.0.1210 für Windows, Mac OS und Android. Alle vier geschlossenen Lücken haben Zugriff aus der Ferne erlaubt. Eine der Lücken mit der Bezeichnung CVE-2013-5331 wird laut Aussage eines Kaspersky-Labs-Experten bereits unter Zuhilfenahme von Microsoft Word ausgenutzt. Hierbei soll der Anwender verleitet werden, ein Word-Dokument zu öffnen, das bösartigen Flash-Code enthält. Seit Flash 11.6 bietet Adobe zwar Click-to-Play für Microsoft Office an, jedoch hat sich die Nutzung der Funktion noch nicht überall durchgesetzt.

Die neue Version des Flash Players für Windows und Mac OS ist 11.9.900.170, Linux-Anwender sollten auf Flash Player 11.2.202.332 aktualisieren. Auch im Shockwave Player wurden zwei Lücken höchster Priorität geschlossen, die Software wurde auf Version 12.0.7.148 aktualisiert.

Wer nicht genau weiß, ob der Shockwave Player benötigt wird, sollte ihn entfernen. In den meisten Fällen wird er nicht gebraucht. Anwender der betroffenen Programme sind wie immer angehalten, zeitnah auf die neuen Versionen zu wechseln.