Gestern hat Adobe die Sonntagsruhe unterbrochen, um schnellstmöglich eine Cross-Site-Scripting-Lücke in Flash zu schließen, die bereits aktiv ausgenutzt wird. Ein Angreifer kann durch die Lücke Kontrolle über personalisierte Webseiten des Opfers übernehmen, also etwa dessen Webmail-Zugang kapern. Zuvor muss er ihn dazu nur auf eine präparierte Webseite locken.

Die Flash-Versionen 10.3.181.16 für Windows, Mac OS X, Linux, Solaris und Android sind verwundbar. Adobe rät allen Anwendern, umgehend die aktuelle Version 10.3.181.22 zu installieren. Benutzer des Internet Explorer müssen auch noch das ActiveX-Plugin aktualisieren, das bereits bei Versionsnummer 10.3.181.23 angelangt ist. Bei Adobe erfährt man, welche Version der Browser derzeit nutzt.

Mit Chrome 11.0.696.77 hat Google ebenfalls schon reagiert und eine aktualisierte Version seines Browsers veröffentlicht, welche den aktualisierten Flash-Player enthält. Android-Nutzer müssen sich noch gedulden, weil Adobe die Smartphone-Version erst im Laufe dieser Woche auf den neuesten Stand bringen will. Der Hersteller untersucht derzeit noch, ob auch der Reader und Acrobat durch ihr Flash-Plugin angreifbar sind.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE