Flash-Lücke

Chrome-Update mit neuem Flash Player

Google hat die neue Chrome-Version 11.0.696.77 bereit gestellt, um den integrierten Flash Player zu aktualisieren. Adobe hat sein Browser-Plugin Flash Player in neuen Versionen für alle Desktop-Plattformen veröffentlicht, um eine Sicherheitslücke zu schließen, die bereits ausgenutzt wird.

Der Flash Player ist in den neuen Versionen 10.3.181.22 für Firefox und Co sowie 10.3.181.23 für Internet Explorer erschienen. Alle bisherigen Versionen für alle Plattformen, auch Android, enthalten eine XSS-Lücke (Cross-site Scripting). Google hat seinen Browser Chrome auf Version 11.0.696.77 aktualisiert, um den neuen Flash Player zu verteilen. Für Android soll es noch vor Pfingsten eine neue Version des Flash Player geben.Nach Angaben von Adobe im Security Bulletin APSB11-13 gibt es Berichte über gezielte Angriffe per Mail, die insbesondere auf Web-Mail-Nutzer gerichtet sind. Die XSS-Lücke im Flash Player kann ausgenutzt werden, um Aktionen so auszuführen, als ob der Benutzer sie selbst ausgelöst hätte. Öffnet ein potenzielles Opfer per Web-Mail einen in einer Mail enthaltenen Link zu einer präparierten Web-Seite, kann das dort geladene Flash-Objekt persönliche Daten aus dem Web-Mail-Konto des Opfers auslesen. Auch in sozialen Netzwerken wie Facebook wären vergleichbare Angriffe denkbar, sind bislang jedoch nicht bekannt. Bitte beachten Sie, dass es für den Internet Explorer (ActiveX) einerseits und andere Browser wie Firefox, Opera oder Safari andererseits separate Flash Player gibt, die Sie beide aktualisieren müssten, falls Sie unter Windows nicht ausschließlich den Internet Explorer nutzen.