[English]Jetzt aber: Gab es am 11. Oktober 2017 kaum was in Sachen Flash-Update zu berichten, hat Adobe am 16. Oktober 2017 ein kritische Notfall-Sicherheitsupdate für den Flash Player veröffentlicht, der eine aktuell bereits ausgenutzte Sicherheitslücke schließen soll.
Anzeige
Adobe Flash Player-Update 27.0.0.170
Im Adobe Flash-Player klafft bis zur Flash-Player Version 26.0.0.151 eine kritische Sicherheitslücke (CVE-2017-11292). Diese ermöglicht eine Remote Code Execution und wird bereits per Exploit ausgenutzt.
Die Sicherheitslücke wurde von Anton Iwanow von Kaspersky Lab in freier Wildbahn entdeckt. Laut Costin Raiu, Direktor des Global Research and Analysis Team (GReAT) bei Kaspersky Lab, wurde die Schwachstelle in Kampagnen von BlackOasis entdeckt. Details dazu hat Bleeping Computer.
Adobe hat zwischenzeitlich dazu das Security Bulletin APSB17-32 veröffentlicht. Die folgenden Flash-Versionen sind angreifbar:
| Product | Version | Platform |
|---|---|---|
| Adobe Flash Player Desktop Runtime | 26.0.0.159 and earlier |
Windows, Macintosh |
| Adobe Flash Player for Google Chrome | 26.0.0.159 and earlier |
Windows, Macintosh, Linux and Chrome OS |
| Adobe Flash Player for Microsoft Edge and Internet Explorer 11 | 26.0.0.130 and earlier |
Windows 10 and 8.1and Chrome OS |
| Adobe Flash Player Desktop Runtime | 26.0.0.159 and earlier | Linux |
Die betreffenden Updates auf die Version 27.0.0.170 sind bei Adobe abrufbar. Wer den Flash-Player selbst installiert und dessen Auto-Update eingeschaltet hat, sollte das Update automatisch erhalten.
Für Windows 8.1 und Windows 10 ist mir aktuell noch kein Update durch Microsoft bekannt, dürfte aber noch kommen. Auch in Google Chrome sollte der Flash Player durch den Browser aktualisiert werden. Betroffen vom manuellen Update sind eigentlich nur Nutzer, die Flash manuell (z.B. unter Windows 7 oder Linux oder Mac OS) installiert haben und wo das Auto-Update nicht funktioniert.
Welche Flash-Player-Version habe ich?
Die installierte Flash-Version lässt sich auf dieser Adobe-Webseite abfragen. Dort lässt sich erkennen, ob der Flash-Player im Browser unterstützt wird, welche Version ggf. genutzt wird und welche Version bei Adobe zum Update bereitsteht.
Sofern Sie den Flash Player über dieser Adobe-Seite aktualisieren, achten für darauf, dass die optionalen Angebote (McAfee Security Scan Plus und True Key von Intel) nicht mit installiert werden. Die direkten Download-Links für den Flash-Player finden sich [Ergänzung: aktuell wohl nicht mehr] bei ComputerBase.
Ergänzung: Flash-Update für Windows
Zum 17.10.2017 hat Microsoft auch das Flash-Player Update für Windows 8.1 und Windows 10 sowie die restlichen unterstützten Server-Versionen und Windows RT freigegeben. Hierzu wurde folgendes Revisions-Bulletin veröffentlicht:
Anzeige
The following CVE has undergone a major revision increment.
* ADV170018
CVE Revision Information:
=====================CVE-2017-13080
– Title: ADV170018 | October 2017 Flash Update
– https://portal.msrc.microsoft.com/en-us/security-guidance
– Reason for Revision: The October Adobe Flash Security Update is available for installation. See KB4049179 for more information.
– Originally posted: October 17, 2017
– Updated: N/A
– CVE Severity Rating: Critical
– Version: 1.0
Update KB4049179 schließt die Sicherheitslücke im Flash-Player, der in folgenden Windows-Versionen mitgeliefert wird:
Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10, Windows 10 Version 1511, Windows 10 Version 1607, Windows 10 Version 1703, Windows 8.1, or Windows RT 8.1.
Google Chrome 62 verfügbar
Von Google steht der Chrome Browser 62 zur Verfügung (siehe Chrome 62 und neues Clean Tool mit Virenschutz freigegeben).
Ähnliche Artikel:
Microsoft Office Patchday (3. Oktober 2017)
Adobe Flash-Update 27.0.0.159 (Oktober 2017)
Microsoft Sicherheits-Updates Summary Oktober 2017
Windows 10-Updates (10. Oktober 2017)
Sicherheits-Updates für Windows 7/8.1 (Oktober 2017)
Microsoft Office Sicherheitsupdates (10. Oktober 2017)
Weitere Updates zum Microsoft Oktober 2017-Patchday
Wichtig: Adobe Flash-Update 27.0.0.170 (16. Oktober 2017)
2015
Wo ist eigentlich dieses Update geblieben?
2017-10 Security Update for Adobe Flash Player for Windows 10 Version 1607, Windows 10, Windows 8.1, Windows RT 8.1, Windows Server 2012 R2, Windows Embedded 8 Standard, and Windows Server 2012 (KB4041683)
steht u.a. bei
https://www.computerbase.de/downloads/internet/browser/adobe-flash-player/
ist auf v27.0.0.130 stehen geblieben. Kommt also wohl noch.
Ergänzend zum Vorposter – ich hatte was im Artikel Weitere Updates zum Microsoft Oktober 2017-Patchday geschrieben.
get.adobe.com/de/flashplayer/about/
sagt mittlerweile
Edge (eingebettet unter Windows 10) – ActiveX 27.0.0.170
angekommen oder ladbar (wsus, MS-Catalog oder woanders) ist noch nichts.
Danke! – Grade wenn Patches so überraschend kommen, sind solche Hinweise sehr hilfreich.
(Ich checke den Flash-Player routinemäßig mindestens 1x tgl. zu Beginn der Online-Sessions, weil ich es vermeiden möchte, dass mir eine Webseite, wo vielleicht irgendwo ein Filmchen enthalten ist, einen dubiosen Alert bringt, man solle jetzt mal schnell etwas updaten. – Sowas trau ich nie und verlasse die Site sofort. – Könnte aber eigentlich auch nur bei Google-Suchergebnissen vorkommen.)
Das ist aber auch etwas unlogisch (1x täglich Flash-Player checken). Mit jedem Sicherheitspatch werden ja nur jene Lücken geschlossen, die a) erkannt wurden und b) die dann tatsächlich geschlossen wurden. Dein PC ist sicher und Du geht morgens aus dem Haus und ein Blumentopf fällt Dir auf den Kopf, toll.
Mach Dir doch keine so große Sorgen um mich. ;-) Ich glaub, ich würde die Blumen dann aus dem Topf pflücken und sie verschenken. :-)
ComputerBase hat keine direkten Links.
Verstehe ich auch nicht. Günter wollte wohl schnell was schreiben. Die zentrale Verteilstelle von Adobe für Flash-Player wurde letztes Jahr oder davor von denen abgeschafft. Man sollte dann schon auf die Adobe-Seite gehen und dann das händisch runterlanden und dann erst installieren (ggf. vorher separat sichern, falls man mehrere PC beglücken möchte).
Bis zum letzten update 27.0.130 gabs bei ComputerBase immer alle direkten links, und die auch noch schnell. Inklusive der empedded IE-updates für 8.1 und 10. Sehr praktisch.
Warum die jetzt rausgenommen wurden? kA, adobe fragen.
Aber warum einfach, wenns auch umständlich geht…
Verstehe ich auch nicht. Als der Beitrag geschrieben wurde, habe ich mir explizit die ComputerBase-Seite angesehen (ich kenne die Rufe nach direkten Download-Links ja). Die Liste mit den direkten Download-Links waren definitiv da. Was ich nicht verifiziert habe: Die Downloads anstoßen und schauen, ob die 27.0.0.170 auch im Download kommt. Wenn mir da kein Lesefehler unterlaufen ist (die 27.0.0.170 wurde im rechten Kasten bei ComputerBase genannt), hat man den Part kurz nach Veröffentlichung meines Blog-Beitrags wohl überarbeitet und gekürzt. Im Zweifelsfall kommen die Links wieder – muss man abwarten. Denn die FTP-Links gibt es ja noch, wie OlliD@IRQ8 weiter unten gepostet hat. Ok, nach der CB Erklärung habe ich den Kommentar mit den Direktlinks auf privat gesetzt.
kamen gestern 16.10. noch alle, wurd angezeigt und war runterladbar.
3x 27.0.0.170 ppapi, npapi und IE win7.
Computerbase hat sich zu den verschwundenen direkten Download-Links "In eigener Sache" geäußert. Zitat: "Adobe hat ComputerBase im Oktober 2017 untersagt, Adobe Flash auf unserem eigenen Server zu spiegeln oder die Dateien auf dem Adobe-Server direkt zu verlinken." (Quelle: computerbase.de/downloads/internet/browser/adobe-flash-player/)
tja, merkwürdig.
Bei chip gibt es (noch) eine .zip-Datei mit den 3 Win-plugins:
http://www.chip.de/downloads/c1_downloads_hs_getfile_v1_16092048.html?t=1508254225&v=3600&s=7b36acd917d8e4c0c04495e15919238c
Bitte nicht bei Chip. Danach kannst Du Dein PC gleich zum Arzt schicken.
Der Link ist nicht zielführend, kommt von Burda!
dekre, wenn du das nicht kannst, ist das eig allein DEIN Prob!
Der link ist doch vollkommen unproblematisch. Man kann da die erwähnte .zip runterladen. Danke dafür. :)
Und für die Aluhüte: direkt vor dem DL JavaScript deaktivieren, bekommt man bei chip immer die ganze Datei. Ohne loaderMumpitz.
Oh, interessant, Burda- IT-Leute melden sich!
Könnt Ihr nicht mal euren Guschel da raus nehmen. Und jetzt bitte Genügsamkeit! Das Thema ist auch nun abgegessen.
gottchen 'dekre', hat da wer wohl Buchstaben-Diarrhoe?
zu jedem Piep wird, fast zwanghaft, ein Comment abgesondert Da wünsch ick mal jute Besserung… :P
Ich wüsste jetzt nicht auf welcher Rechtsgrundlage Adobe das Verlinken verhindern können soll. Hat Adobe bei ComputerBase (oder hier) Anzeigen geschaltet, deren eventueller Wegfall schmerzen würde?
(Die Dateien selbst zum Download anbieten geht natürlich nicht.)
Es ist eine juristische Grauzone, in die ich mich als Blogger nicht ohne Not begebe. Adobe kann die Direktlinks als 'offensichtlich rechtswidrig' charakterisieren – was dann juristisch zu klären wäre, ob die Klassifizierung so korrekt ist oder nicht.
Hintergrund: Der Download ist legal nur nach Abschluss einer entsprechenden Vereinbarung mit Adobe zulässig. Auf dem FTP-Server ist der direkte Link, wenn man die URL kennt, zwar möglich. Aber man kann beispielsweise nicht über FTP … zum betreffenden Verzeichnis navigieren.
Unter dem Gesichtspunkt und in Anbetracht der Tatsache, dass Flash eh stirbt, werde ich hier nicht mehr direkt verlinken (lassen). Bitte da um euer Verständnis.
Und nein, Adobe schaltet hier keine Anzeigen, die schmerzen würden. Aber ein juristischer Schrieb mit Unterlassungserklärung und Kostennote muss nicht provoziert werden.
Lieber MK,
Da hat schon unser Günter darüber in der Vergangenheit berichtet. Es ist so! Adobe ist ein System, welches sich ein Monopol aufzusuchen einzurichten. Das was schon des öfteren hier Thema. Es ist noch raffgieriger als Amazon und der Apfel-kack.
Nur so zur Info, die neuste Flash Version .170 verursacht Shockwave chrahs im Browser wenn man sein vCenter administrieren möchte. Am Besten .159 nutzen bzw. separaten Browser mit dieser Flash Version weil Chrome ja dauernd auf die 170 updatet.
*Crashs natürlich.
Gibt es eigentlich eine Source für die .159 für Firefox?
Nur zur Info:
Das Update macht übrigens den VMWare VSphere 6.0 Webclient – welcher ja bekanntlich mit Flash arbeitet – unbrauchbar.
Nach dem Einspielen der vorherigen Version geht er wieder. Alles Murks.
Wenn das dann so bei bestimten Anwendungen ist, so sollte man die automatische Updatefunktion in der Konsole ausschalten, wenn man die Vorversion eingespielt hat. Das muss beobachtet werden.
Der 6.5 Webclient vom vCenter ist genauso betroffen…
Das Plugin stürzt noch vor der Anmeldung ab.
Hallo,
so ist es, ist in der Version 27.0.0.180 wieder gefixt.
https://forums.adobe.com/thread/2395850
Ist halt ein Problem diese Version auf Windows >= 8 für den EDGE/IE zu bekommen, weil der normale Weg dafür nur über WU läuft und mit einem Rollout damit erst zum nächsten Patchday (14.11.2017) zu rechnen ist, es sei denn die nächste schwere Lücke die einen Notfallsecurity Patch erfordert wird vorher aufgedeckt. :-)
Zumindest ist das nun der erste Grund für mich, dass es doch Sinn macht, dass MS bei den Insider Builds keine Flash Patches ausrollt, womit die Insider Build zwar mit einer bekannten Lücke angreifbar sind, aber der vSphere Client dort funktioniert. Was jetzt besser ist?
Beim nächsten Insider Build (laut Dona S.) frühestens nächste Woche dürfte dann aber auch die neue "sichere" aber defekte Version stecken. :-)
Also muss man sich z.B.: den Firefox mit einer Flash Player Version kleiner 27.0.0.170 installieren oder >= 27.0.0.180 um mit dem vSphere Web Client wieder arbeiten zu können …
Gäbe es aber in Windows >= 8 eine Option den Flash Player per Hand zu installieren …
Zum Glück das Ende des Flash Players zumindest mal eingeplant.
Schönes Wochenende.
Beste Grüße
Martin
Version 27.0.0.183 jetzt verfuegbar bei Adobe.
Super! Besten Dank für den Hinweis. :-)