Neuer 0-Day-Exploit für Flash Player, außerplanmäßiges Update veröffentlicht

Geschrieben von Carsten Eilers am Donnerstag, 10. März 2016 um 22:47

Es gibt mal wieder einen 0-Day-Exploit, den ersten in diesem Jahr. Mal wieder für den Flash Player (fast möchte ich schreiben "Für was auch sonst?". Oh, ups ), und es gibt auch schon ein außerplanmäßiges (wenn auch vorgestern) bereits angekündigtes Update zur Beseitigung der Schwachstelle.

Und zusätzlich gibt es ebenfalls außer der Reihe ein als "kritisch" eingestuftes Security Bulletin von Microsoft zu dem in Internet Explorer 10 und 11 sowie Microsoft Edge integrierten Flash Player. Das hat Microsoft nun davon, dass sie den Flash Player in den Browser integriert haben statt ihn zu verbannen.

Google dürfte dann wohl mit einem Update für Chrome folgen, oder hat man das Flash-Player-Update mal wieder vor der Veröffentlichung durch Adobe erhalten, wie es in der Vergangenheit schon öfter der Fall war?

Konkret geht es um die Schwachstelle CVE-2016-1010, eine Integerüberlauf-Schwachstelle, die das Ausführen eingeschleusten Codes erlaubt. Adobe bedankt sich bei Anton Ivanov vom Kaspersky Lab für die Meldung der Schwachstelle, zumindest Kaspersky sollte den zugehörigen Schädling und die Opfer der Angriffe also kennen. Zumindest bisher hat man dort aber nichts dazu veröffentlicht.

Adobe schreibt von "limited, targeted attacks", Microsoft erwähnt die Angriffe gar nicht. Weitere Informationen gibt es bisher nicht.

Update 6.4.2016:
Trend Micro hat eine "Root Cause Analysis of the Recent Flash Zero-Day Vulnerability" veröffentlicht, und auch wenn parallel ein neuer 0-Day-Exploit für Flash bekannt wurde ist mit "Recent" diese Schwachstelle hier gemeint. Falls Sie sich also für die Hintergründe von Schwachstelle und/oder Patch interessieren, der Bericht von Trend Micro ist wirklich ausführlich.
Ende des Updates

Updaten ist gut, deinstallieren besser

Was nun? Ganz einfach: Löschen Sie den Flash Player, dann sind sie auf der sicheren Seite. Oder installieren Sie das Update, um dann auf den nächsten 0-Day-Exploit zu warten.

Ich persönlich habe den Flash Player bisher nicht vermisst, und der ist hier schon vor einiger Zeit von der Platte geflogen. YouTube und Co. funktionieren auch ohne Flash, nur ein paar Websites setzen noch auf Flash zum Abspielen von Videos. Aber die Videos findet man meist auch anderswo. Und ansonsten - wozu brauchte man Flash doch gleich noch mal? Ach ja, für Websites, deren "Designer" mit HTML nichts anzufangen wissen. Na, die müssen dann eben draußen bleiben.

Carsten Eilers

Trackbacks

Trackback-URL für diesen Eintrag

Dipl.-Inform. Carsten Eilers am Donnerstag, 10. März 2016: Die 0-Day-Exploits 2016 im Überblick

Vorschau anzeigen

Hier finden Sie eine Übersicht über die 2016 eingesetzten 0-Day-Exploits, die die Ausführung eingeschleusten Codes erlauben. Es gibt auch Übersichtsseiten für 2013, 2014 und 2015. Nummer

Dipl.-Inform. Carsten Eilers am Mittwoch, 15. Juni 2016: 0-Day-Exploit für Flash Player unterwegs, bei Microsoft nur 0-Day-Schwachstellen gepatcht

Vorschau anzeigen

Adobe warnt mal wieder vor einem 0-Day-Exploit für den Flash Player, ein Update ist in Vorbereitung. Bei Microsoft sieht es dafür am Juni-Patchday besser aus: Es wurde zwar wieder eine Reihe von 0-Day-Schwachstellen behoben, aber f&uu

Mo	Di	Mi	Do	Fr	Sa	So
← Zurück	April '24
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30