Mit einem Sicherheitsupdate schließt Adobe eine Sicherheitslücke im Flash-Player, die bereits aktiv von Cyber-Ganoven ausgenutzt wird. Es handelt sich dabei aber nicht um die Lücke, über die heise Security vergangenen Mittwoch berichtete. Flash bleibt weiter angreifbar und sollte umgehend deaktiviert werden.

Alarmstufe Rot – trotz Patch

Das in Chrome enthaltene Flash-Plugin ist unabhängig vom auf dem System installieren Flash Player und muss separat deaktiviert werden.

Durch die Schwachstelle, die der Patch schließt, umgehen Angreifer die Speicherverwürfelung von Windows, das sogenannte Address Space Layout Randomization (ASLR) – eine Schutzfunktion, die das Ausnutzen von Sicherheitslücken erschwert. Die aktuelle (weiterhin verwundbare) Version heißt unter Windows und Mac OS X 16.0.0.287 und unter Linux 11.2.202.438.

Adobe stellt in seinem Advisory klar, dass es sich dabei nicht um die am Mittwoch bekannt gewordene Schwachstelle handelt. Diese werde derzeit noch untersucht. Auch die gerade veröffentlichten Versionen sind also angreifbar – und werden bereits angegriffen. Inzwischen hat der Entdecker der Angriffe, der Virenforscher Kafeine, weitere Versuche mit dem kursierenden Exploit angestellt. Demnach können die Angreifer durch die noch nicht gepatchte Lücke sogar ein aktuelles Windows 8.1 mit Internet Explorer 11 kompromittieren.

Auch Firefox-Nutzer im Visier

Unter Windows 8.x bringt auch der Internet Explorer einen eigenen Flash Player mit, der extra deaktiviert werden muss.

Ferner wird der Exploit nun auch an Firefox-Nutzer ausgeliefert, die er ebenfalls erfolgreich mit Schadcode infiziert. Besucht man eine verseuchte Webseite mit Chrome, bleibt man derzeit verschont, was aber nicht bedeutet, dass man auf der sicheren Seite ist: Der Angriffscode wird schlicht nicht ausgeliefert, was sich jederzeit ändern kann.

Besser deinstallieren

Sieht man auf der Adobe-Testseite im rot markierten Bereich nur einen Platzhalter, hat man den Flash Player erfolgreich deaktiviert. Wenn er noch läuft, steht dort seine Versionsnummer.

Laut Kafeine kann ein Angreifer durch die Lücke beliebigen Code ins System einschleusen; demnach handelt es sich um eine kritische Lücke. Der Nutzer muss lediglich auf eine Webseite geraten, auf der das Exploit-Kit Angler lauert – und das kann jede sein. Die Lücke wird bereits aktiv ausgenutzt, daher sollte man den Flash-Player bis auf Weiteres stilllegen.

Der erste Schritt ist die Deinstallation der Software auf dem üblichen Weg. Google Chrome bringt darüber hinaus eine eigene Kopie des Plug-ins mit, die man über die die URL chrome://plugins/ abschalten kann. Das gleiche gilt für den Internet Explorer unter Windows 8 und aufwärts. Den Dialog zum Deaktivieren erreicht man hier über das Zahnrad-Symbol oben rechts, "Add-Ons verwalten", "Shockwave Flash Object".

Wer nicht ganz auf Flash verzichten will oder kann, dem bieten die meisten Browser eine Option namens Click-to-play, die dafür sorgt, dass Plug-ins erst ausführt werden, nachdem man mit der Maus auf einen Platzhalter geklickt hat. Ob der derzeit genutzte Browser das Flash-Plugin ausführt, kann man bei Adobe testen. (rei)