Flash-Player spielt beliebigen Programmcode ab

Adobe schließt mit neuen Versionen der Flash-Player-Software mehrere Sicherheitslücken. Angreifer können beliebigen Code mit präparierten Flash-Dateien beispielsweise auf Webseiten oder in E-Mails auf betroffene Rechner einschleusen.

In der Sicherheitsmeldung geht Adobe nicht auf die Details der Lücken ein, sondern erklärt nur, dass Eingaben nicht korrekt geprüft würden und so eingeschleuster Code ausgeführt werden könne. Die Updates schließen ebenfalls ein Lücke, die es Flash-Dateien ermöglicht, die allowScriptAccess-Option zu umgehen. Die aktualisierten Flash-Player der 7er- und 8er-Serie enthalten auch Bugfixes für ältere Schwachstellen; neue Fassungen des Flash-Players 7 sind auch für Linux und Solaris erhältlich.

Das von Adobe bevorzugte Update ist der Wechsel auf den Flash-Player 9.0.16.0. Das Unternehmen stellt mit den Versionen 8.0.33.0, 7.0.68.0 und 7.0.66.0 jedoch auch Updates für ältere Versionen bereit, falls es nicht möglich ist, auf die 9er-Version umzusteigen. Da die Fehler sämtliche Plattformen betreffen, auf denen der Flash-Player verfügbar ist, sollten Administratoren die Player-Version auf allen Systemen überprüfen und gegebenenfalls aktualisieren.

Siehe dazu auch: (dmk)

• Multiple Vulnerabilities in Adobe Flash Player 8.0.24.0 and Earlier Versions, Sicherheitsmeldung von Adobe
• Download der aktuellen Flash-Player-Software