06.11.2012 18:50
Alert! Umfangreiches Sicherheitsupdate für Flash und AIR Update
Adobe hat neue Versionen seines Flash-Players für sämtliche Plattformen herausgegeben und schließt damit zahlreichen kritische Sicherheitslücken. Den Schwachstellen sind insgesamt sieben CVE-Nummern zugeordnet. Es handelt sich dabei vor allem um Pufferüberläufe, durch die ein Angreifer Schadcode ins System schleusen kann. Entdeckt wurden die Lücken von Googles Sicherheitsteam.
Die aktuellen Flash-Versionen lauten:
| Plattform | Version | Bezugsquelle |
| Windows und Mac OS X |
11.5.502.110 | Adobe |
| Linux | 11.2.202.251 | Adobe |
| Android 4.x | 11.1.115.27 | Automatisch über Google Play (nur für Geräte, auf denen Flash vor dem 15. August 2012 installiert wurde) |
| Android 3.x/2.x | 11.1.111.24 | Automatisch über Google Play (nur für Geräte, auf denen Flash vor dem 15. August 2012 installiert wurde) |
| Google Chrome | 11.5.31.2 | Google (Chrome aktualisiert sich automatisch) |
| IE 10 (Windows 8 und Server 2012) | 11.3.376.12 | Windows Update / Microsoft |
Google hat den in Chrome enthaltenen Flash-Player derzeit noch nicht auf den aktuellen Stand gebracht, das dürfte sich aber im Laufe der nächsten Stunden ändern. Auch die automatisch Auslieferung des Flash Player für Windows 8 hat offenbar noch nicht begonnen.
Welche Version des Flash-Plug-ins der Browser gerade nutzt, erfährt man auf Adobes Testseite. Das Flash-Update für Windows hat die höchste Prioritätsstufe – hier besteht also nach Einschätzung von Adobe das größtmögliche Angriffsrisiko.
Darüber hinaus wurde die AIR-Runtime einschließlich des dazugehörigen Entwicklerkits abgedichtet. Aktuell ist auf allen Plattformen jetzt die Version 3.5.0.600 für alle Plattformen.
Update vom 07.11.2012, 11:00: Die automatischen Updates für Chrome und Windows 8 werden inzwischen ausgeliefert.
Siehe dazu auch:
Cross-Site-Scripting (XSS) ist eine der größten Plagen, mit denen Webmaster zu kämpfen haben. Der neue Standard "Content Security Policy" soll endlich Abhilfe schaffen. 
Wie schwer ist es, einen Hotelsafe zu knacken? heise Security hat es spontan ausprobiert – mit einem überraschenden Ergebnis. 
Was ist echt und was ist falsch? Echte Benachrichtigungen von Firmen sind kaum noch von Phishingmails zu unterscheiden. Trotzdem wird von uns erwartet, dass wir den Durchblick behalten. So funktioniert das nicht. 
Die Weboberfläche zur Verwaltung von ProLiant- und Integrity-Servern enthält eine kritische Sicherheitslücke. 
Eine Lücke, viele Updates: Adobe hat ein kritisches Sicherheitsloch gestopft und neue Flash- und Air-Versionen für sämtliche Plattformen veröffentlicht. 
Am Juni-Patchday hat Microsoft zahlreihe Lücken in Windows, Internet Explorer und Office geschlossen. Eine Rechteausweitungslücke, für die bereits ein Exploit im Netz kursiert, hat die Redmonder Softwareschmiede dabei jedoch offenbar ausgelassen. 
