Wichtig: Adobe Flash-Update 27.0.0.170 (16. Oktober 2017)

Sicherheit[English]Jetzt aber: Gab es am 11. Oktober 2017 kaum was in Sachen Flash-Update zu berichten, hat Adobe am 16. Oktober 2017 ein kritische Notfall-Sicherheitsupdate für den Flash Player veröffentlicht, der eine aktuell bereits ausgenutzte Sicherheitslücke schließen soll. 


Werbung



Adobe Flash Player-Update 27.0.0.170

Im Adobe Flash-Player klafft bis zur Flash-Player Version 26.0.0.151 eine kritische Sicherheitslücke (CVE-2017-11292). Diese ermöglicht eine Remote Code Execution und wird bereits per Exploit ausgenutzt.

Die Sicherheitslücke wurde von Anton Iwanow von Kaspersky Lab in freier Wildbahn entdeckt. Laut Costin Raiu, Direktor des Global Research and Analysis Team (GReAT) bei Kaspersky Lab, wurde die Schwachstelle in Kampagnen von BlackOasis entdeckt. Details dazu hat Bleeping Computer.

Adobe hat zwischenzeitlich dazu das Security Bulletin APSB17-32 veröffentlicht. Die folgenden Flash-Versionen sind angreifbar:

Product Version Platform
Adobe Flash Player Desktop Runtime 26.0.0.159
and earlier
Windows, Macintosh
Adobe Flash Player for Google Chrome 26.0.0.159
and earlier
Windows, Macintosh, Linux and Chrome OS
Adobe Flash Player for Microsoft Edge and Internet Explorer 11 26.0.0.130
and earlier
Windows 10 and 8.1and Chrome OS
Adobe Flash Player Desktop Runtime 26.0.0.159 and earlier Linux

Die betreffenden Updates auf die Version 27.0.0.170 sind bei Adobe abrufbar. Wer den Flash-Player selbst installiert und dessen Auto-Update eingeschaltet hat, sollte das Update automatisch erhalten.

Für Windows 8.1 und Windows 10 ist mir aktuell noch kein Update durch Microsoft bekannt, dürfte aber noch kommen. Auch in Google Chrome sollte der Flash Player durch den Browser aktualisiert werden. Betroffen vom manuellen Update sind eigentlich nur Nutzer, die Flash manuell (z.B. unter Windows 7 oder Linux oder Mac OS) installiert haben und wo das Auto-Update nicht funktioniert.

Welche Flash-Player-Version habe ich?

Die installierte Flash-Version lässt sich auf dieser Adobe-Webseite abfragen. Dort lässt sich erkennen, ob der Flash-Player im Browser unterstützt wird, welche Version ggf. genutzt wird und welche Version bei Adobe zum Update bereitsteht.

Flash-Player Update-Seite

Sofern Sie den Flash Player über dieser Adobe-Seite aktualisieren, achten für darauf, dass die optionalen Angebote (McAfee Security Scan Plus und True Key von Intel) nicht mit installiert werden. Die direkten Download-Links für den Flash-Player finden sich [Ergänzung: aktuell wohl nicht mehr] bei ComputerBase.

Ergänzung: Flash-Update für Windows

Zum 17.10.2017 hat Microsoft auch das Flash-Player Update für Windows 8.1 und Windows 10 sowie die restlichen unterstützten Server-Versionen und Windows RT freigegeben. Hierzu wurde folgendes Revisions-Bulletin veröffentlicht:

The following CVE has undergone a major revision increment.

* ADV170018


Werbung

CVE Revision Information:
=====================

CVE-2017-13080

– Title: ADV170018 | October 2017 Flash Update
https://portal.msrc.microsoft.com/en-us/security-guidance
– Reason for Revision: The October Adobe Flash Security Update is available for installation. See KB4049179 for more information.
– Originally posted: October 17, 2017
– Updated: N/A
– CVE Severity Rating: Critical
– Version: 1.0

Update KB4049179 schließt die Sicherheitslücke im Flash-Player, der in folgenden Windows-Versionen mitgeliefert wird:

Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10, Windows 10 Version 1511, Windows 10 Version 1607, Windows 10 Version 1703, Windows 8.1, or Windows RT 8.1.

Google Chrome 62 verfügbar

Von Google steht der Chrome Browser 62 zur Verfügung (siehe Chrome 62 und neues Clean Tool mit Virenschutz freigegeben).

Ähnliche Artikel:
Microsoft Office Patchday (3. Oktober 2017)
Adobe Flash-Update 27.0.0.159 (Oktober 2017)
Microsoft Sicherheits-Updates Summary Oktober 2017
Windows 10-Updates (10. Oktober 2017)
Sicherheits-Updates für Windows 7/8.1 (Oktober 2017)
Microsoft Office Sicherheitsupdates (10. Oktober 2017)
Weitere Updates zum Microsoft Oktober 2017-Patchday
Wichtig: Adobe Flash-Update 27.0.0.170 (16. Oktober 2017)


Werbung

Dieser Beitrag wurde unter Sicherheit, Update, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

29 Kommentare zu Wichtig: Adobe Flash-Update 27.0.0.170 (16. Oktober 2017)

  1. OlliD@IRQ8 sagt:

    Wo ist eigentlich dieses Update geblieben?

    2017-10 Security Update for Adobe Flash Player for Windows 10 Version 1607, Windows 10, Windows 8.1, Windows RT 8.1, Windows Server 2012 R2, Windows Embedded 8 Standard, and Windows Server 2012 (KB4041683)

  2. Andreas B. sagt:

    Danke! – Grade wenn Patches so überraschend kommen, sind solche Hinweise sehr hilfreich.
    (Ich checke den Flash-Player routinemäßig mindestens 1x tgl. zu Beginn der Online-Sessions, weil ich es vermeiden möchte, dass mir eine Webseite, wo vielleicht irgendwo ein Filmchen enthalten ist, einen dubiosen Alert bringt, man solle jetzt mal schnell etwas updaten. – Sowas trau ich nie und verlasse die Site sofort. – Könnte aber eigentlich auch nur bei Google-Suchergebnissen vorkommen.)

    • Dekre sagt:

      Das ist aber auch etwas unlogisch (1x täglich Flash-Player checken). Mit jedem Sicherheitspatch werden ja nur jene Lücken geschlossen, die a) erkannt wurden und b) die dann tatsächlich geschlossen wurden. Dein PC ist sicher und Du geht morgens aus dem Haus und ein Blumentopf fällt Dir auf den Kopf, toll.

      • Andreas B. sagt:

        Mach Dir doch keine so große Sorgen um mich. 😉 Ich glaub, ich würde die Blumen dann aus dem Topf pflücken und sie verschenken. 🙂

  3. MK sagt:

    ComputerBase hat keine direkten Links.

    • Dekre sagt:

      Verstehe ich auch nicht. Günter wollte wohl schnell was schreiben. Die zentrale Verteilstelle von Adobe für Flash-Player wurde letztes Jahr oder davor von denen abgeschafft. Man sollte dann schon auf die Adobe-Seite gehen und dann das händisch runterlanden und dann erst installieren (ggf. vorher separat sichern, falls man mehrere PC beglücken möchte).

      • Chicha sagt:

        Bis zum letzten update 27.0.130 gabs bei ComputerBase immer alle direkten links, und die auch noch schnell. Inklusive der empedded IE-updates für 8.1 und 10. Sehr praktisch.
        Warum die jetzt rausgenommen wurden? kA, adobe fragen.
        Aber warum einfach, wenns auch umständlich geht…

      • Günter Born sagt:

        Verstehe ich auch nicht. Als der Beitrag geschrieben wurde, habe ich mir explizit die ComputerBase-Seite angesehen (ich kenne die Rufe nach direkten Download-Links ja). Die Liste mit den direkten Download-Links waren definitiv da. Was ich nicht verifiziert habe: Die Downloads anstoßen und schauen, ob die 27.0.0.170 auch im Download kommt. Wenn mir da kein Lesefehler unterlaufen ist (die 27.0.0.170 wurde im rechten Kasten bei ComputerBase genannt), hat man den Part kurz nach Veröffentlichung meines Blog-Beitrags wohl überarbeitet und gekürzt. Im Zweifelsfall kommen die Links wieder – muss man abwarten. Denn die FTP-Links gibt es ja noch, wie OlliD@IRQ8 weiter unten gepostet hat. Ok, nach der CB Erklärung habe ich den Kommentar mit den Direktlinks auf privat gesetzt.

        • core sagt:

          kamen gestern 16.10. noch alle, wurd angezeigt und war runterladbar.
          3x 27.0.0.170 ppapi, npapi und IE win7.

        • Ralf Lindemann sagt:

          Computerbase hat sich zu den verschwundenen direkten Download-Links “In eigener Sache” geäußert. Zitat: “Adobe hat ComputerBase im Oktober 2017 untersagt, Adobe Flash auf unserem eigenen Server zu spiegeln oder die Dateien auf dem Adobe-Server direkt zu verlinken.” (Quelle: computerbase.de/downloads/internet/browser/adobe-flash-player/)

        • MK sagt:

          Ich wüsste jetzt nicht auf welcher Rechtsgrundlage Adobe das Verlinken verhindern können soll. Hat Adobe bei ComputerBase (oder hier) Anzeigen geschaltet, deren eventueller Wegfall schmerzen würde?

          (Die Dateien selbst zum Download anbieten geht natürlich nicht.)

          • Günter Born sagt:

            Es ist eine juristische Grauzone, in die ich mich als Blogger nicht ohne Not begebe. Adobe kann die Direktlinks als ‘offensichtlich rechtswidrig’ charakterisieren – was dann juristisch zu klären wäre, ob die Klassifizierung so korrekt ist oder nicht.

            Hintergrund: Der Download ist legal nur nach Abschluss einer entsprechenden Vereinbarung mit Adobe zulässig. Auf dem FTP-Server ist der direkte Link, wenn man die URL kennt, zwar möglich. Aber man kann beispielsweise nicht über FTP … zum betreffenden Verzeichnis navigieren.

            Unter dem Gesichtspunkt und in Anbetracht der Tatsache, dass Flash eh stirbt, werde ich hier nicht mehr direkt verlinken (lassen). Bitte da um euer Verständnis.

            Und nein, Adobe schaltet hier keine Anzeigen, die schmerzen würden. Aber ein juristischer Schrieb mit Unterlassungserklärung und Kostennote muss nicht provoziert werden.

          • Dekre sagt:

            Lieber MK,
            Da hat schon unser Günter darüber in der Vergangenheit berichtet. Es ist so! Adobe ist ein System, welches sich ein Monopol aufzusuchen einzurichten. Das was schon des öfteren hier Thema. Es ist noch raffgieriger als Amazon und der Apfel-kack.

  4. Tockmock sagt:

    Nur so zur Info, die neuste Flash Version .170 verursacht Shockwave chrahs im Browser wenn man sein vCenter administrieren möchte. Am Besten .159 nutzen bzw. separaten Browser mit dieser Flash Version weil Chrome ja dauernd auf die 170 updatet.

  5. Chris sagt:

    Nur zur Info:

    Das Update macht übrigens den VMWare VSphere 6.0 Webclient – welcher ja bekanntlich mit Flash arbeitet – unbrauchbar.

    Nach dem Einspielen der vorherigen Version geht er wieder. Alles Murks.

    • Dekre sagt:

      Wenn das dann so bei bestimten Anwendungen ist, so sollte man die automatische Updatefunktion in der Konsole ausschalten, wenn man die Vorversion eingespielt hat. Das muss beobachtet werden.

    • Max sagt:

      Der 6.5 Webclient vom vCenter ist genauso betroffen…
      Das Plugin stürzt noch vor der Anmeldung ab.

    • Martin sagt:

      Hallo,

      so ist es, ist in der Version 27.0.0.180 wieder gefixt.

      https://forums.adobe.com/thread/2395850

      Ist halt ein Problem diese Version auf Windows >= 8 für den EDGE/IE zu bekommen, weil der normale Weg dafür nur über WU läuft und mit einem Rollout damit erst zum nächsten Patchday (14.11.2017) zu rechnen ist, es sei denn die nächste schwere Lücke die einen Notfallsecurity Patch erfordert wird vorher aufgedeckt. 🙂

      Zumindest ist das nun der erste Grund für mich, dass es doch Sinn macht, dass MS bei den Insider Builds keine Flash Patches ausrollt, womit die Insider Build zwar mit einer bekannten Lücke angreifbar sind, aber der vSphere Client dort funktioniert. Was jetzt besser ist?

      Beim nächsten Insider Build (laut Dona S.) frühestens nächste Woche dürfte dann aber auch die neue “sichere” aber defekte Version stecken. 🙂

      Also muss man sich z.B.: den Firefox mit einer Flash Player Version kleiner 27.0.0.170 installieren oder >= 27.0.0.180 um mit dem vSphere Web Client wieder arbeiten zu können …

      Gäbe es aber in Windows >= 8 eine Option den Flash Player per Hand zu installieren …

      Zum Glück das Ende des Flash Players zumindest mal eingeplant.

      Schönes Wochenende.

      Beste Grüße
      Martin

  6. sandy sagt:

    Super! Besten Dank für den Hinweis. 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.