Adobe stopft kritische 0-Day-Lücke im Flash Player

Neue Software, Treiber oder BIOS-Versionen findet ihr hier
[ News about software, drivers and bios can be found here ]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35363
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Adobe stopft kritische 0-Day-Lücke im Flash Player

Beitrag von doelf »

Adobe hat 17 Sicherheitslücken in seinem Flash Player geschlossen, darunter auch eine kritische 0-Day-Lücke (CVE-2016-7892), die auf 32-Bit-Versionen von Windows bereits angegriffen wird. Als Einfallstor dient dabei der Internet Explorer. Die gefährlichen Fehler betreffen allerdings auch alle anderen Windows-Versionen, Mac OS X sowie Linux - letzteres aber nur, wenn Googles Chrome als Webbrowser verwendet wird. Alle anderen Linux-Nutzer können sich mit dem Update etwas Zeit lassen.

Bei CVE-2016-7892 handelt es sich um einen Zugriff auf ein bereits aus dem Speicher entferntes Objekt. Dieser Fehler lässt sich - wie viele seiner Art - bei einem erfolgreichen Angriff zum Einschleusen von Schadcode ausnutzen. Der neue Flash Player schließt insgesamt sieben solcher Lücken. Dazu kommen fünf Speichermanipulationen und vier Pufferüberläufe, die sich ebenfalls als Einfallstor für Schadcode missbrauchen lassen. Bleibt noch Fehler Nummer 17, mit dem sich bestimmte Sicherheitsfunktionen des Programms aushebeln lassen.

Für Windows und Mac OS X sowie für Google Chrome, Microsoft Edge und den Internet Explorer 11 hat Adobe den Flash Player auf die Version 24.0.0.186 aktualisiert. Die Updates sollten unverzüglich eingespielt werden! Nur Linux-Nutzer, die auf Chrome verzichten, können durchatmen, denn für sie gilt nur die moderate Prioritätsstufe 3 zum Einspielen der neuen Version 24.0.0.186. Und nein, das ist kein Tippfehler, die Linux-Version springt tatsächlich von 11.2.202.644 auf 24.0.0.186!

Download:
Quelle:
https://helpx.adobe.com/security/produc ... 16-39.html
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
Mausolos
Insider
Insider
Beiträge: 1099
Registriert: 09 Mär 2015, 20:50
Wohnort: Vierländerregion

Re: Adobe stopft kritische 0-Day-Lücke im Flash Player

Beitrag von Mausolos »

doelf hat geschrieben:Und nein, das ist kein Tippfehler, die Linux-Version springt tatsächlich von 11.2.202.644 auf 24.0.0.186!
Eine kleine Ergänzung: :)

Für Linux gibt es jetzt zwei verschiedene Flash Player mit dem selben «release branch»:
NPAPI (Netscape Plugin API) für mozillabasierende Webbrowser und
PPAPI (Pepper Plugin API) für chromebasierende Webbrowser.

NPAPI ist im Funktionsumfang etwas eingeschränkt, weswegen die moderate Prioritätsstufe 3 für das Update gilt.
Quelle: blogs.adobe.com/flashplayer/2016/08/beta-news-flash-player-npapi-for-linux

Das ursprünglich geplane „Aus“ für das NPAPI (Version 11.2) im April 2017 wurde somit aufgehoben.
Quelle: http://blogs.adobe.com/flashplayer/2012 ... linux.html
Adobe.com hat geschrieben:We have done this significant change to improve security and provide additional mitigation to the Linux community.
Linux :)

Antworten