Die aktuelle Update-Aufforderung von Adobes Flash-Player sollte nicht gedankenlos weggeklickt werden. Noch besser ist es sogar, die Aktualisierung notfalls selbst anzustoßen. Denn eine gerade erst entdeckte Sicherheitslücke wird bereits aktiv von Kriminellen ausgenutzt.

Der bekannte Sicherheitsforscher Kafeine hatte den Exploit entdeckt. Analysen zeigten, dass bereits zwei Malware-Varianten im Umlauf sind, die die Sicherheitslücke ausnutzen und auf dem Exploit-Kit Angler basieren. In diesem sind laut dem Experten auch Möglichkeiten vorhanden, zwei weitere Schwachstellen auszunutzen, für diese hat Adobe aber bereits Patches herausgegeben. Beim letzten Upgrade-Zyklus war die oben genannte Lücke aber noch nicht berücksichtigt.

Betroffen von dem Problem sind alle Flash-Player bis zur Version 16.0.0.257, die unter Windows oder OS X laufen. Die aktuellen Malware-Angriffe funktionieren allerdings wohl erst einmal nur unter verschiedenen Kombinationen von Windows und Internet Explorer. In Chrome soll die Attacke hingegen nicht funktionieren, weil hier die Browser-eigenen Sicherheitsfunktionen greifen.

Trotzdem sollte sich niemand zu sicher fühlen, der einen fehlerhaften Flash-Player auf dem Rechner hat, denn die Lücke kann kurzfristig auch durch weitere Malware ausgenutzt werden - immerhin lassen sich neue und verbesserte Schädlinge mit dem Exploit-Kit relativ einfach erstellen. Bei Adobe versucht man aktuell ebenfalls, die Entwicklung im Blick zu behalten.

Einer der beiden bereits aktiven Schädlinge sorgt dafür, dass der infizierte Rechner in ein Botnetz eingebunden wird. Der andere bringt seinen Entwicklern Geld ein, indem er die Werbebanner in Webseiten austauscht. Um dem Problem zu begegnen, hat Adobe recht schnell und außerplanmäßig einen Patch veröffentlicht, der von der Aktualisierungs-Funktion des Flash-Players eingespielt werden kann.

Quelle: [url=http://winfuture.de/news,85505.html]Lücke im Flash-Player wird ausgenutzt - Update dringend angeraten - WinFuture.de[/url]

---------------------------------------------------------------------------------

23.01.15 Update...

Adobe will Flash-Lücke erst nächste Woche schließen

Im Flash Player klafft eine kritische Lücke, über die Angreifer das System komplett übernehmen können. Diese wird bereits aktiv ausgenutzt. Adobe will sich trotzdem bis nächste Woche mit dem Patch Zeit lassen.

Wie Adobe in einer Sicherheitsmeldung verlauten lässt, will man die nach wie vor offene, kritische Flash-Lücke irgendwann in der kommenden Woche abdichten. Die Sicherheitslücke (CVE-2015-0311) wird momentan aktiv für Angriffe verwendet und heise Security hat von mehreren Lesern Hinweise erhalten, dessen Rechner den Attacken bereits zum Opfer gefallen sind. Ein genaues Datum für die Auslieferung des Updates nannte die Firma nicht, diese soll "in der Woche beginnend am 26. Januar" erfolgen.

Der Flash-Player sollte deinstalliert werden
Bis das Update eintrifft, sollten Nutzer den Flash Player besser deinstallieren. Angreifer können die Lücke missbrauchen, um aus der Ferne beliebigen Code in das System des Opfer einzuschleusen. Landet der Nutzer auf einer Webseite, auf der über Flash Schadcode verteilt wird – etwa durch Werbe-Banner von Drittseiten – ist es schon zu spät. Aus diesem Grund sollte man Flash bis auf weiteres den Saft abdrehen.

Zum einen kann man dazu die Software auf dem üblichen Weg entfernen. Google Chrome bringt darüber hinaus eine eigene Kopie des Plug-ins mit, die man über die die URL chrome://plugins/ abschalten kann. Das gleiche gilt für den Internet Explorer unter Windows 8 und aufwärts. Den Dialog zum Deaktivieren erreicht man hier über das Zahnrad-Symbol oben rechts, "Add-Ons verwalten", "Shockwave Flash Object".

Wer nicht ganz auf Flash verzichten will oder kann, dem bieten die meisten Browser eine Option namens Click-to-play, die dafür sorgt, dass Plug-ins erst ausführt werden, nachdem man mit der Maus auf einen Platzhalter geklickt hat. Ob der derzeit genutzte Browser das Flash-Plugin ausführt, kann man bei Adobe testen.

Quelle: heise.de/newsticker/meldung/Ad…e-schliessen-2527107.html

Adobe hat sich Zeit damit gelassen, eine schwerwiegende Lücke im Flash-Player zu stopfen: Nun werden seit Samstag endlich über den Auto-Updater sichere Versionen verteilt.

Adobe beginnt mit der Auslieferung von Updates für den Flash-Player, die eine seit Anfang der letzten Woche bekannte Sicherheitslücke (CVE-2015-0311) stopfen sollen. Die Version 16.0.0.296 werde laut Mitteilung seit dem 24. Januar an Nutzer der Flash-Laufzeitumgebung verteilt – sofern die Auto-Update-Funktion aktiviert ist. Eine Update-Fassung für den manuellen Download solle in der am 26. Januar beginnenden Woche folgen. Aktuell verwundbar sind unter Windows und Mac OS X die Versionen bis 16.0.0.287; unter Linux 11.2.202.438 und frühere.

Die als sehr kritisch eingestufte Lücke erlaubt Angreifern, aus der Ferne beliebigen Code in das System des Opfer einzuschleusen. Berichte legen nahe, dass das Leck auch bereits von Cyberganoven im Rahmen so genannter Exploit-Kits aktiv ausgenutzt wird. Das sind Baukästen, für die Erstellung von passend präparierten Web-Seiten, die kein technisches Wissen mehr erfordern, sondern mit GUI und Analysefunktionen auf die Bedürfnisse von Cyber-Gangs ohne großes Knowhow zugeschnitten sind. Diese Exploit-Kits werden im Internet teuer verkauft – professioneller Support und Updates inklusive. Das sorgt für massenhafte Verbreitung der Exploits. Umso erstaunlicher war es, dass Adobe mit dem Update letzten Mittwoch nicht zumindest auch einen schützenden Workaround verteilte.

Die Lücke erlaubt es, auch ein aktuelles Windows 8.1 mit Internet Explorer 11 zu kompromittieren, warnte deren Entdecker. Landet der Nutzer auf einer Webseite, auf der über Flash Schadcode verteilt wird – etwa durch Werbe-Banner von Drittseiten – ist es schon zu spät.

Wer das Flash-Update noch nicht einspielen kann, sollte Flash für die Zwischenzeit deinstallieren. Zum einen kann man dazu die Software auf dem üblichen Weg entfernen. Google Chrome bringt darüber hinaus eine eigene Kopie des Plug-ins mit, die man über die die URL chrome://plugins/ abschalten kann. Das gleiche gilt für den Internet Explorer unter Windows 8 und aufwärts. Den Dialog zum Deaktivieren erreicht man hier über das Zahnrad-Symbol oben rechts, "Add-Ons verwalten", "Shockwave Flash Object".

Wer nicht ganz auf Flash verzichten will oder kann, dem bieten die meisten Browser eine Option namens Click-to-play, die dafür sorgt, dass Plug-ins erst ausführt werden, nachdem man mit der Maus auf einen Platzhalter geklickt hat. Ob der derzeit genutzte Browser das Flash-Plugin ausführt, kann man bei Adobe testen.

Quelle: Kritische Lücke im Flash-Player: Adobe beginnt Update-Auslieferung | heise online

Die Flash-Macher haben die kritische Lücke in ihrer Software endlich geschlossen. Leider vermitteln sie auf der offiziellen Flash-Webseite noch den Eindruck, die verwundbare Version wäre die neueste und damit sicher.

Adobe sorgt derzeit für Verwirrung bei Nutzern, die eigentlich einfach zu vermeiden wäre. Die offizielle Flash-Player-Webseite der Firma behauptet, die aktuellste (und damit sichere) Flash-Version wäre 16.0.0.287 für Windows und OS X und 11.2.202.438 für Linux. Dabei sind die neuesten Versionen, die man an anderer Stelle auch schon bei Adobe herunterladen kann, Flash 16.0.0.296 für Windows und OS X und 11.2.202.440 für Linux.

Ganz besonders hart trifft es die Linux-Community, die von Adobe ziemlich stiefmütterlich behandelt wird. Wer Flash für Linux von der offiziellen Adobe-Seite herunterlädt, bekommt nach wie vor auf mindestens einer Webseite des Unternehmens die alte – und verwundbare – Version des Plug-ins.

Die Verunsicherung der Nutzer ist verständlich. Schließlich kann man erwarten, dass die Macher einer Software wissen, welche Version aktuell ist – und das dann auch entsprechend kommunizieren. Das Security-Chaos bei Adobe hat allerdings Tradition, so hat die Firma schon 2009 unsichere Versionen des Adobe Readers zum Download angeboten.

Quelle mit Bildern: Adobe stiftet Verwirrung mit falschen Versionsangaben für Flash | heise online

Adobe hat nach kaum einer Woche erneut außerplanmäßig ein Notfall-Update für den Flash Player veröffentlicht. Die neue Version 18.0.0.209 stopft zwei kritische Sicherheitslücken, die bereits dazu ausgenutzt werden, unerwünschte und gefährliche Software auf Rechnern mit Windows, Mac oder Linux einzuschleusen. Adobe rät allen Internetnutzern, das Update sofort zu installieren.

Für das Update hat Adobe die Priorität 1 für Windows und Mac vergeben. Das ist die höchste Alarmstufe, weshalb das Update nicht aufgeschoben werden sollte. Nutzer sollten nicht warten, bis sich der Flash Player eigenständig über die integrierte Update-Routine abgesichert hat, sondern das Update sofort manuell starten und einspielen.

Beide Lücken stammen aus dem Fundus des italienischen Schnüffel-Tool-Herstellers "Hacking Team". Der flog vorige Woche auf und Adobe hat dessen effektivstes Einfallstor in fremde Systeme schon mit einem Notfall-Update dicht gemacht. Online-Kriminelle sollen die von IT-Profis erdachte Hintertür bereits für ihre Angriffe ausnutzen.

Flash Player 18.0.0.209 zum Download
Wer eine veraltete Version nutzt, sollte entweder Flash über Adobe aktualisieren oder im Falle von Browsern wie Google Chrome oder neueren Versionen des Internet Explorers (Versionen 10 und 11) unter Windows 8 beziehungsweise 8.1 die dortige Softwareaktualisierung starten.

Adobe nennt keine Details zu den beiden Sicherheitslücken, teilt aber mit, dass versierte Hacker über die Schwachstellen leicht ein Betriebssystem angreifen könnten. Ohne die abgesicherte Version 18.0.0.209 laufen Internetnutzer deshalb Gefahr, ihren Computer mit Schadsoftware zu infizieren und an Online-Kriminelle zu verlieren, wenn die die Kontrolle übernehmen.

Quelle: Adobe Flash Player 18: Neues Update dringend installieren

Updatelink: get.adobe.com/de/flashplayer/

Schneller Patch für kritische Sicherheitslücke

Adobe hat es schon wieder getan: Es gibt ein neues Sicherheitsupdate für den Flash-Player. Es kommt so kurzfristig, dass das Unternehmen die eigenen Sicherheitshinweise noch nicht überarbeitet hat.

Adobe hat schnell auf den jüngsten Exploit für Adobe Flash reagiert. Erst Anfang der Woche war bekanntgeworden, dass eine kritische Lücke in dem Programm für gezielte Angriffe auf Außenministerien genutzt wurde.

Die jetzt verfügbare Version 19.0.0.226 für Mac und Windows beziehungsweise 11.2.202.540 für Linux lässt sich jetzt bei Adobe herunterladen. Nutzer sollten in jedem Fall überprüfen, dass sie die aktuellste Version herunterladen, denn Adobe hat noch nicht alle seine Seiten aktualisiert. Das Security Bulletin des Unternehmens listet das neueste Update bei Veröffentlichung dieses Artikels noch nicht.


Quelle: golem.de/news/adobe-flash-schn…sluecken-1510-116946.html

Insgesamt 23 einzelne Schwachstellen in Adobes Flash beseitigt ein aktuelles Update der Software.

Fast alle sind in der höchsten Stufe einzusortieren – sprich: Sie ermöglichen es unter Umständen, betroffene Rechner schon beim Besuch einer Web-Seite mit Schad-Software zu infizieren.

Bei der von Kaspersky entdeckten Lücke mit dem Bezeichner CVE-2016-1010 warnt Adobe, dass sie bereits für "vereinzelte gezielte Angriffe" ausgenutzt würde. Das bedeutet in aller Regel Angriffe auf wichtige Ziele; der Einbruch in die Netze des Bundestags soll etwa über eine solche Zero-Day-Lücke in Flash erfolgt sein.

Betroffen sind Flash-Plugins für Windows, Macs und Linux; Adobe empfiehlt in APSB16-08 ein zügiges Update auf die jeweils neueste Version 21.0.0.182 beziehungsweise 18.0.0.333 (die aktuell installierte, verrät eine Adobe-Testseite zu Flash).

Quelle: Notfall-Update für Flash stopft aktiv genutzte Sicherheitslücke | heise online