Es wird nochmal kritisch – Adobe aktualisiert Flash Player vor Supportende

14.Oktober 2020 Im Flash Player klafft eine kritische Sicherheitslücke. Pünktlich zum Patchday stehen Updates für Windows, Linux, macOS und Chrome OS bereit.

(Bild: Shutterstock / heise online (Collage))

Am 31. Dezember 2020 stellt Adobe den Support für den als unsicher geltenden, mittlerweile eher unbeliebten Flash Player ein. Kurz vor Schluss hat das Unternehmen allerdings nochmal nachgebessert und eine kritische, aus der Ferne ausnutzbare Sicherheitslücke geschlossen. Es gibt Aktualisierungen für Windows, Linux, macOS und Chrome OS, die teils automatisch installiert werden, teils aber auch manuell angeschoben werden müssen.

Updates für weitere Adobe-Produkte gab es zum Patch Tuesday diesmal nicht; allerdings veröffentlicht der Hersteller auch recht häufig Aktualisierungen außer der Reihe.

 

Exploitbarer Crash in Flash

Laut einer knappen Erläuterung in Adobes Security Bulletin APSB20-58 könnten Angreifer die Sicherheitslücke CVE-2020-9746 missbrauchen, indem sie schädliche Strings in eine HTTP-Response injizieren, die defaultmäßig TLS/SSL-verschlüsselt verschickt wird. Das Resultat eines gelungenen Angriffs wäre ein Absturz des Flash Players, den der Angreifer wiederum für sich nutzen kann, um beliebigen Code im Kontext des aktuellen Nutzers auszuführen.

Verwundbar sind die folgenden Versionen:

Adobe Flash Player Desktop Runtime (Win, macOS, Linux) bis einschl. Version 32.0.0.433

Adobe Flash Player für Google Chrome (Win, macOS, Linux, Chrome OS) bis einschl. Version 32.0.0.433 und

Adobe Flash Player für Microsoft Edge and Internet Explorer 11 (Windows 10 and 8.1) bis einschl. Version 32.0.0.387.

In allen drei Fällen schützt die neue Version 32.0.0.445 vor Angriffen auf die kritische Lücke. Die Desktop-Ausgabe kann über das Flash Player Download Center heruntergeladen werden. Im Falle von Google Chrome erfolgt die Aktualisierung über den Update-Mechanismus des Browsers; gleiches gilt für Edge und IE (siehe auch Microsofts Advisory zum Flash-Update).

Weiterführende Hinweise und Downloadlinks sind Adobes Security Bulletin zu entnehmen.

Quelle Heise.de