Erst vor ein paar Tagen hat Adobe ein Notfall-Update für bereits aktiv ausgenutzte hochkritische Lücken
veröffentlicht. Zum regulären Februar-Patch-Day am 13.02.2013 liefert das Unternehmen nun neue Flash-Versionen für alle unterstützten Betriebssysteme. Mit den Sicherheitsupdates schließt das Unternehmen siebzehn weitere als kritisch eingestufte
Sicherheitslücken. Ein entfernter Angreifer kann darüber eine Anwendung zum Absturz und den Rechner unter Kontrolle bringen. Außerdem eignen sich die Lücken, um Schadcode einzuschleusen und auszuführen. Ursache dafür sind vor allem zehn Pufferüberläufe und drei Use-after-free-Fehler. Eine weitere Sicherheitslücke ermöglicht Datenspionage. Betroffen sind laut dem
Adobe-Advisory der Flash Player 11.5.502.148 für Windows und Mac OS X sowie die Versionen 11.2.202.262 für Linux, 11.1.115.37 für Android 4.x und 11.1.111.32 für Android 3.x und früher. Die Sicherheitslücken befinden sich aber auch in der Laufzeitumgebung AIR sowie im AIR-SDK 3.5.0.1060 und früher.
Adobe empfiehlt den Nutzern des Flash Players, die fehlerbereinigten Versionen 11.6.602.168 für Windows und 11.6.602.167 für Mac OS X zu
installieren. Für Linux-Nutzer steht Flash Player 11.2.202.270 zum Download bereit. Die neuen Versionen 11.1.115.47 für Android 4.x und 11.1.111.43 für Android 3.x und früher stehen nur für Geräte bereit, die den Flash schon vor dem 15. August auf ihrem Rechner installiert haben. Googles Chrome-Browser erhält das Flash-Plugin automatisch. Microsoft
aktualisiert den Flash Player im Internet Explorer 10 automatisch. Außerdem schließt Adobe mit Version 12.0.0.112
zwei kritische Lücken in Shockwave. Für Nutzer von Windows- und Mac OS steht die neue Shockwave-Version 12.0.0.112 auf der
Adobe-Webseite zur Verfügung.
Warnhinweis: Laut Adobe befindet sich eine kritische Lücke im Reader, die bereits aktiv ausgenutzt wird. Die Lücke hatten Sicherheitsexperten von
FireEye entdeckt und am 12.02.2013 Informationen dazu veröffentlicht. Das war für Adobe zu kurzfristig, um noch ein Update für den Februar-Patch-Day bereitzustellen.
Die Lücke lässt sich mit manipulierten PDF-Dateien ausnutzen, über die Schadcode auf den Rechner transportiert wird. Laut FireEye sind der Adobe Reader 9.5.3, 10.1.5, und 11.0.1 sowie ältere Versionen unter Windows betroffen. Bis Adobe den Fehler beseitigt hat, sollten Nutzer des Adobe Readers möglichst keine PDF-Dateien aus unbekannten Quellen öffnen.