Flash jetzt mit weniger Sicherheitslücken

Laut Sicherheits-Bulletin betrifft das Update Windows, Linux, Mac OS, Android 2, 3 und 4, alle AIR-Laufzeitbibliotheken sowie das AIR-SDK. Drei der Lücken ermöglichen entfernten Angreifern Schadcode auszuführen. Die Lücke CVE-2013-0646 erzeugt einen Ganzzahlüberlauf, CVE-2013-1371 führt zu einem Speicherfehler und CVE-2013-1375 verursacht einen Speicherüberlauf. Bei CVE-2013-0650 handelt es sich um eine Use-after-free-Lücke.

Diese Schwachstellen können von einem entfernten, anonymen Angreifer ausgenutzt werden, um beliebigen Code mit den Rechten des angemeldeten Benutzers auszuführen. Zur erfolgreichen Ausnutzung dieser Schwachstelle muss der Angreifer den Anwender dazu bringen, eine manipulierte Flash-Datei etwa über eine Webseite zu öffnen.

Eine fünfte Sicherheitslücke hat das französische Unternehmen Vupen vergangene Woche beim Pwn2Own-Wettbewerb entdeckt. Das Team erhielt über 50.000 Euro Preisgeld, aber die Sicherheitslücke wurde von Adobe mit diesem Update noch nicht geschlossen.

Adobe empfiehlt den Nutzern eine zeitnahe Aktualisierung des Flash Players. Nutzer von Windows- und Mac-OS erhalten das Update über den Auto-Updater. Alternativ können Sie den aktualisierten Flash Player in Version 11.6.602.180 über die Adobe Webseite herunterladen. Hinweis: Windows-Nutzer sollten vor dem Klick auf „Jetzt herunterladen“ die Option „Ja, McAfee Security Scan Plus installieren“ deaktivieren. Nutzer von Linux finden den aktuellen Flash Player 11.2.202.275 über diese Adresse. Für Android erhalten Sie die aktuellen Revisionen der AIR-Laufzeitumgebung und des Flash-Players bei Google Play. Die AIR 3.6-Versionen für Mac- und Windows erhalten Sie im Download-Center für AIR. Der Flash-Player für Chrome und den Internet Explorer 10 wird automatisch aktualisiert.