Patch für Flash: Zero-Day-Sicherheitslücke in Adobe Flash

Originalartikel von Jonathan Leopando, Technical Communications

Adobe hat aufgrund einer Zero-Day-Sicherheitslücke einen Patch für Flash Player außer der Reihe veröffentlicht. Dem Adobe Bulletin (APSB16-36) zufolge sind die Versionen 23.0.0.185 und ältere (veröffentlicht am 11. Oktober) betroffen. (Adobe Flash Player für Linux nutzt ein separates Versionierungssystem, hier sind es 11.2.202.637 und früher). Alle Nutzer, die Flash Player installiert haben, sollten diesen so schnell wie möglich aktualisieren.

Es geht um eine Use-after-Free-Sicherheitslücke, die unter CVE-2016-7855 beschrieben wird. Ein Angreifer könnte eine bösartige Flash-Datei nutzen, um bösartigen Code auf dem System eines Nutzers auszuführen und verschiedene Bedrohungen auf dem betroffenen System abzulegen. Das Bulletin stellt fest, dass die Sicherheitslücke über „begrenzte gezielte Angriffe“ auf Windows-Nutzer missbraucht worden ist.

Adobe hat ein Flash Update veröffentlicht, dass die Lücke schließen soll. Es umfasst die aktuelle Version 23.0.0.205. Der eingebaute Update-Mechanismus wird entweder automatisch das Update installieren oder den Nutzer dazu auffordern. Die in Chrome und Edge/Internet Explorer integrierten Versionen erhalten die Updates über die entsprechenden Browser-Mechanismen.

Trend Micro Deep Security™ und Vulnerability Protection schützt die Kunden vor allen Bedrohungen, die diese Lücke ausnutzen wollen. Es gilt die folgende DPI-Regel:

  • 1008003—Adobe Flash Player Use-After-Free Vulnerability

TippingPoint-Kunden sind vor den Angriffen über den folgenden MainlineDV-Filter geschützt:

  •     25498: HTTP: Adobe Flash AMF Use-After-Free Vulnerability

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*