Adobe veröffentlicht einen Patch für eine Sicherheitslücke in Flash Player, die zu einer beliebigen Code-Ausführung auf Zielsystemen führen könnte.
Adobe hat am Dienstag einen Patch für einen kritischen Fehler veröffentlicht, der den Flash Player für die Ausführung von beliebigem Code durch einen Gegner anfällig macht. Betroffen sind Versionen des Flash Players, die unter Windows, MacOS, Linux und Chrome OS laufen.
Parallel dazu wurde am Dienstag auch ein Microsoft-Sicherheitshinweis für den Fehler (CVE-2018-15981) veröffentlicht.
Bei dem Fehler handelt es sich um eine Schwachstelle vom Typ "Verwirrung", die eine gängige Angriffstechnik gegen die ActionScript Virtual Machine von Adobe ist. "Normalerweise führt ein Code-Stück, das den Typ des übergebenen Objekts nicht verifiziert und es blind und ohne Typprüfung verwendet, zu einer Typverwirrung", so eine Microsoft-Beschreibung des Fehlers.
Der in Israel ansässige Forscher Gil Dabah wird für die Identifizierung des Fehlers gelobt. Der Forscher veröffentlichte seine Ergebnisse über den Fehler am 15. November, fünf Tage vor der Behebung des Fehlers durch Adobe.
"Der Interpreter-Code der virtuellen Maschine für Aktionsskripte setzt einen With-Scope-Zeiger nicht zurück, wenn eine Ausnahme abgefangen wird, was später zu einem Typverwirrungsfehler und schließlich zu einer entfernten Codeausführung führt", schrieb Dabah.
Die Sicherheitslücke betrifft Anwender der Adobe Flash Player Desktop Runtime für Windows, MacOS und Linux in der Version 31.0.0.148 und früher. Anwendern wird dringend empfohlen, auf Adobe Flash Player 31.0.0.153 zu aktualisieren.
Adobe sagte, es seien keine Exploits in the wild" bekannt.
Der Sicherheitshinweis von Microsoft verweist auf den Adobe-Patch, skizziert aber auch eine Abhilfe. "Sie können Versuche, den Adobe Flash Player in Internet Explorer und anderen Anwendungen, die das Kill-Bit-Feature anerkennen, wie Office 2007 und Office 2010, zu instanziieren, deaktivieren, indem Sie das Kill-Bit für das Steuerelement in der Registrierung setzen", sagte Microsoft.
In seinem Hinweis verweist Adobe auf weitere Informationen zu einem Chrome für Android-Update vom 19. November. Es fehlen weitere Details zu CVE-2018-15981, jedoch weist Google die Nutzer auf einen hochgradigen "use after-free"-Problem in der GPU hin (CVE-2018-17479).
Google Chrome, so Adobe, wird automatisch auf Adobe Flash Player 31.0.0.153 für Windows, MacOS, Linux und Chrome OS aktualisiert. Windows 10 und 8.1-Benutzer von Edge und Internet Explorer 11 werden ebenfalls automatisch aktualisiert.
Microsoft sagte, dass ein Angreifer bei einem wahrscheinlichen Angriff ein potenzielles Opfer dazu verleiten würde, auf einen bösartigen Link oder eine Werbung zu klicken, um es zu einer mit einer Sprengfalle versehenen Website zu lenken, die die Nutzlast für die beliebige Codeausführung enthält.
