Zero-Day-Lücke! Angriff auf Flash Player, Patch noch nicht verfügbar

Im Flash Player klafft eine kritische Sicherheitslücke (CVE-2018-4878), die Angreifer momentan ausnutzen, warnt Adobe. Davon sollen Adobe zufolge zum jetzigen Zeitpunkt alleinig Windows-Nutzer bedroht sein. Einen Sicherheitspatch hat der Konzern erst für kommende Woche angekündigt.

Die Zero-Day-Lücke klafft in allen Flash-Versionen bis einschließlich in der aktuellen Ausgabe 28.0.0.137 unter Chrome OS, Linux, macOS und Windows.

Damit ein Angriff klappt, müssen Angreifer Opfern ein mit Flash-Inhalten präpariertes Office-Dokument unterjubeln und Opfer müssen dieses öffnen. Anschließend könnten Angreifer aufgrund eines Speicherfehlers (Use-after-free) Code aus der Ferne ausführen und die Kontrolle über das System übernehmen. Die Dokumente sollen an betrügerischen Mails hängen.

Im Zweifel sollte man Flash deinstallieren oder zumindest ausschalten. Alternativ rät Adobe Admins dazu, die Protected-View-Einstellung in Office zu aktivieren. So öffnet Office beispielsweise heruntergeladene Dokumente schreibgeschützt.

2018-02-02T14:39:36+00:00