Nutzer sollten Flash-Player deaktivieren

Neues Flash-Update schließt nicht alle Lücken

Adobe hat außer der Reihe ein Sicherheits-Update für den Flash Player bereitgestellt. Es beseitigt jedoch nur eine von zwei bereits ausgenutzten Schwachstellen.

In Adobes Browser-Plugin Flash Player stecken Sicherheitslücken, die bereits durch Online-Kriminelle ausgenutzt werden, um Malware zu verbreiten. Inzwischen hat Adobe zwei dieser Lücken bestätigt und ein Update auf Flash Player 16.0.0.287 bereitgestellt. Damit beseitigt der Software-Hersteller allerdings nur eine der beiden Schwachstellen. Die zweite Lücke will Adobe in der kommenden Woche mit einem weiteren Update stopfen.

Wie der französische Sicherheitsforscher Kafeine in seinem Blog meldet, nutzt das Exploit-Kit Angler so genannte Zero-Day-Lücken im Flash Player, um mittels präparierter SWF-Dateien per Drive-by Download Malware zu einzuschleusen. Kafeine hat seinen Blog-Beitrag mittlerweile aktualisiert, zumal auch die Macher des Exploit-Kit eine neue Version ausliefern.

Zunächst haben mit dem Angler Exploit-Kit präparierte Web-Seiten nur Nutzer des Internet Explorer mit Hilfe der Flash-Exploits angegriffen. Wie Kafeine inzwischen herausgefunden hat, blieben Firefox-Nutzer nur wegen eines Fehlers im Script der Angreifer unbehelligt. Dieser Bug ist inzwischen behoben. Nunmehr wird jeder Besucher mit einem Flash-Exploit attackiert, der mit Firefox oder Internet Explorer unter Windows unterwegs ist - egal, welche Windows- (auch 8.1!) oder Browser-Version. Auf Google Chrome reagiert das Script hingegen weiterhin nicht. Das bedeutet allerdings nicht, das Chrome sicher wäre - das Script kann jederzeit erneut angepasst werden.

Mit dem inzwischen von Adobe bereit gestellten Update auf Flash Player 16.0.0.287 wird nur eine der ausgenutzten Lücken beseitigt (CVE-2015-0310). Wie Adobe im Security Bulletin APSB15-02 schreibt, kann diese Schwachstelle ausgenutzt werden, um die Verwürfelung von Speicheradressen (ASLR - Address Space Layout Randomization) in Windows zu umgehen.

Sicherheitsexperten raten, den Flashplayer derzeit zumindest zu deaktivieren.
Sicherheitsexperten raten, den Flashplayer derzeit zumindest zu deaktivieren.

Auf die zweite Schwachstelle (CVE-2015-0311) geht Adobe in der später veröffentlichten Sicherheitsmeldung APSA15-01 ein. Eine erfolgreiche Ausnutzung dieser Lücke kann den Flash Player zum Absturz bringen. Dadurch kann eingeschleuster Code ausgeführt werden, der dem Angreifer die volle Kontrolle über den angegriffenen Rechner verschaffen kann. Diese Lücke hofft Adobe in der letzten Januarwoche mit einem weiteren Update zu beseitigen.

Bis dahin lautet die Empfehlung vieler Sicherheitsexperten: Windows-Nutzer sollten den Flash Player deinstallieren oder zumindest im Browser deaktivieren. Video-Portale wie Youtube liefern Inhalte inzwischen auch per HTML 5 aus, der Flash Player wird dafür nicht mehr benötigt. Im Internet Explorer findet unter Extras (das Zahnradsymbol oder ALT + X) und Add-Ons verwalten. Dort kann man dann Shockwave Flash Object deaktiveren/deinstallieren. Unter Google Chrome findet man die entsprechende Möglichkeit nach Eingabe von chrome://plugins/.

Wie Kafeine in einem kurzen Test unter Windows 8.1 (32 Bit) festgestellt hat, scheint Microsofts Anti-Exploit-Tool EMET 5.1 die Ausnutzung der Flash-Lücken durch Angler im Internet Explorer zu verhindern. (PC Welt/mje)