Adobe schließt kritische Lücken in Flash und Co.

[sce87]

Adobe schließt kritische Lücken in Flash und Co.

Adobe hat zahlreiche Sicherheitslücken in Flash Player, Flash Media Server und ColdFusion geschlossen. Gleich mehrere Fehler in der Speicherverwaltung des Flash Player 10.1 können Angreifer ausnutzen, um Schadcode in ein System einzuschleusen. Eine weitere Schwachstelle macht den Player anfällig für Clickjacking-Angriffe. Die Lücken wirken sich auch auf die Sicherheit von Flash Professional CS5, Flash CS4 Professional und Flex 4 aus. Laut Adobe sind alle Player-Versionen bis 10.1.53.64 verwundbar, daher rät der Hersteller zum Update auf die aktuelle Version 10.1.82.76. Google hat mit Chrome-Version 5.0.375.126 für Windows, Mac OS X und Linux das aktualisierte Flash-Plugin in seinen Browser integriert. Chrome aktualisiert sich automatisch, sobald man das Programm neu startet. Zwar ist man dann beim Surfen mit Chrome geschützt, der systemweit verfügbare Flash-Player wird jedoch nicht aktualisiert. Wer noch den Flash Player 9 auf dem System hat, etwa durch eine Installation von Flash CS3 Professional oder Flex 3, kann die Lücken mit dem ebenfalls am gestrigen Dienstag veröffentlichten Update auf Player-Version 9.0.280 schließen. Auch Adobe AIR ist bis Version 2.0.2.12610 in gleichem Maße verwundbar. Abhilfe schafft das Update auf die fehlerbereinigte Version 2.0.3.

Admins, die den Flash Media Server bis einschließlich Version 3.0.5 und 3.5.3 unter Windows oder Unix einsetzen, empfiehlt Adobe ein Update auf 3.0.6 respektive 3.5.4. Mehrere Lücken können Angreifer unter anderem zur Einschleusung von Schadcode missbrauchen. ColdFusion verrät Angreifern in den Versionen 8.0, 8.0.1, 9.0, 9.0.1 und älter unter Umständen vertrauliche Informationen, was man mit einem Security Hotfix beheben kann.