Die letzte Aktualisierung des Flash Players ist gerade einmal zwei Wochen her – jetzt ist es schon wieder soweit. Aufgrund zweier bereits aktiv ausgenutzten Sicherheitslücken hat Adobe für Mac OS und Windows die Revision 11.6.602.171 veröffentlicht.

Zwei der Lücken lassen sich ausnutzen, um beliebigen Code auszuführen – eine betrifft die ActionScript-Funktion ExternalInterface; die andere einen Pufferüberlauf. Die dritte Lücke kompromittiert die im Web-Browser Firefox implementierte Sandbox und wird Adobe zufolge bereits zur Unterwanderung von Systemen genutzt. Über Tricks führen Angreifer ihre Opfer auf Webseiten mit präparierten SWF-Dateien, bei deren Wiedergabe das Plug-in abstürzt. Die Lücken betreffen sowohl Linux als auch Mac OS und Windows, Android dieses Mal wohl nicht. Der Pufferüberlauf wurde Adobe von IBMs Sicherheitsabteilung X-Force gemeldet.

Die Exploits tragen die CVE-IDs CVE-2013-0504, CVE-2013-0643 und CVE-2013-0648. Aktuell zeigt die Datenbank der Common Vulnerabilities and Exposures für diese Codes noch Platzhalter.

Beim aktuellen Update handelt es sich schon um den dritten Flash-Patch im Februar. Anfang des Monats erschien für Mac OS und Windows der Flash Player 11.5.502.149; am 12. Februar folgte die Revision 11.6.602.168. Für Linux ist ab sofort die Revision 11.2.202.273 aktuell. Der Internet Explorer 10 bringt sich unter Windows 8 selbsttätig auf den neuesten Stand. Auch Google Chrome aktualisiert sich automatisch; hier lautet die aktuelle Versionsnummer 25.0.1364.97 m.

Wer den Flash-Player per Hand über die Adobe-Website aktualisiert, sollte darauf achten, vor dem Download die Option zum Herunterladen des Zusatzprogramms McAfee Security Scan Plus abzuwählen. (ghi)