Skip to main content

Adobe Patches kritische Sicherheitslücken in Flash Player, Shockwave

Adobe hat am Dienstag mehrere Schwachstellen in seinem Flash Player und Shockwave Player gepatcht, darunter eines, für das bereits ein Exploit verfügbar ist.

"Adobe ist Berichten darüber bewusst, dass ein Exploit den Benutzer dazu verleitet hat, ein Microsoft Word-Dokument zu öffnen mit bösartigem Flash (.swf) Inhalt existiert für CVE-2013-5331 ", sagte das Unternehmen in einem Sicherheitshinweis.

Diese CVE (Common Vulnerabilities and Exposures) ID bezieht sich auf eine Verwechslungsgefahr, die in der neuen Version von Flash behoben wurde Spieler. Ein Speicherfehler, der als CVE-2013-5332 verfolgt wurde, wurde ebenfalls behoben. Bei erfolgreicher Ausnutzung können beide Sicherheitslücken zur Ausführung von beliebigem Code führen, so dass Angreifer die Kontrolle über die betroffenen Systeme übernehmen können.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Seither gibt es eine gewisse Minderung für diese Art von Exploit Flash 11.6, das eine Click-to-Play-Funktion einführte, bei der Benutzer die Wiedergabe von in Dokumenten eingebetteten Flash-Inhalten beim Öffnen in Microsoft Office-Versionen älter als Office 2010 bestätigen müssen.

Beim Update vom Dienstag wurden jedoch die Windows- und Macintosh-Versionen verschoben von Flash Player auf Version 11.9.900.170 und die Linux-Version auf 11.2.202.332. Die in Google Chrome, Internet Explorer 10 und Internet Explorer 11 enthaltenen Flash Player-Versionen werden automatisch über die Aktualisierungsmechanismen dieser Browser aktualisiert.

Die beiden Flash Player-Sicherheitslücken wurden auch in Adobe AIR behoben, einer Laufzeitumgebung für Rich Internet Applications Flash-Unterstützung. Die Patches sind in Adobe AIR Version 3.9.0.1380 für Windows, Mac und Android enthalten.

Adobe Shockwave Player Version 12.0.7.148 für Windows und Mac wurde am Dienstag veröffentlicht, um zwei verschiedene Speicherbeschädigungsanfälligkeiten zu beheben - CVE-2013-5333 und CVE -2013-5334 - die zur Ausführung willkürlichen Codes führen könnte. Shockwave Player ist nicht so verbreitet wie Flash Player, aber laut Adobe ist er auf über 450 Millionen Desktop-Computern installiert, was ihn zu einem potenziellen Angriffsziel für Angreifer macht.

Da es Berichte über einen vorhandenen Exploit für einen der beiden gibt Flash-Schwachstellen: "Unsere Empfehlung lautet, die Flash-Version in Ihre Kategorie" Patch-Dringend "aufzunehmen", sagte Wolfgang Kandek, CTO der Schwachstellen-Management-Firma Qualys, in einem Blogbeitrag.