Adobe warnt vor Lücke im Flash Player

Vor einer kritischen Sicherheitslücke im Flash Player warnt Adobe. Betroffen ist der Flash Player bis Version 10.2.152.33 für Windows, Mac, Linux und Solaris sowie der Flash Player bis Version 10.1.106.16 für Android-Smartphones und das Flash-Plugin für Googles Browser Chrome. Ebenfalls betroffen ist der Adobe Reader und das Acrobat X-Tool.

Durch die Sicherheitslücke kann Schadcode eingeschleust werden. Laut Adobe wird diese Lücke auch bereits genutzt. Über eine per Mail verschickte Excel-Tabelle, in der ein infiziertes Flash-Video versteckt ist, können Angreifer den Rechner zum Absturz bringen und so die Kontrolle über den Computer bzw. das Smartphone bekommen. Der Fehler steckt laut Adobe in der Datei authplay.dll.

Wie Adobe meldet arbeitet man schon an einem Patch, der am 21. März veröffentlicht werden soll. Einzig der Adobe Reader X soll den Patch erst im Juni bekommen, da die integrierte Sandbox verhindert, dass Malware installiert werden kann.

Zu viel Funktionalität ist ein potentielles Risiko

Roel Schouwenberg von Kasperskyschreibt in einem Blogeintrag, dass das Problem unter Windows 7 aktuell nicht bestehe. Und er nutzte den Anlass zu Kritik: Muss Flash wirklich in Excel-Dokumente eingebettet werden? Er sieht zu viel Funktionalität in einer Anwendung als potentielles Sicherheitsrisiko.

Microsoft schlägt er vor den Nutzern zu ermöglichen, solche Features abzuschalten. Alternativ könnte laut Schouwenberg auch Adobe diese Integration unterbinden, um die Wahrscheinlichkeit von Sicherheitslücken so gering wie möglich zu halten. Den Nutzern empfiehlt er, bei Excel-Dateien, die sie per Mail erhalten, besonders vorsichtig zu sein. Vor allem, wenn man eigentlich gar keine solche Datei erwartet.

Die österreichische Sicherheitsagentur CERT.at rät Nutzern, das Firefox-Plugin Flashblock zu installieren. Flashblock blockiert zunächst automatisch alle Flash-Inhalte, der Nutzer muss sie jeweils freigeben.