[English]Adobe schließt die vorige Woche gemeldete Zero Day-Lücke CVE-2018-4878 im Flash Player mit einem Update die Version 28.0.0.161. Das Update wird Windows, Macintosh, Linux und Chrome OS freigegeben. Ergänzung: Das Update ist freigegeben – es wurden sogar zwei Sicherheitslücken geschlossen.
Anzeige
Zum Hintergrund: Zero Day Exploit
Im Adobe Flash Player existiert in allen Versionen bis zur Version 28.0.0.137 eine Zero Day-Lücke CVE-2018-4878, die im Adobe Security Advisory for Flash Player APSA18-01 dokumentiert ist. [Ergänzung: Diesem Bericht nach wurde auch eine zweite Sicherheitslücke CVE-2018-4877 (Remote Code Execution) geschlossen. Betroffen sind folgende Flash-Versionen.
| Product | Version | Platform |
| Adobe Flash Player Desktop Runtime | 28.0.0.137 and earlier versions | Windows, Macintosh |
| Adobe Flash Player for Google Chrome | 28.0.0.137 and earlier versions | Windows, Macintosh, Linux and Chrome OS |
| Adobe Flash Player for Microsoft Edge and Internet Explorer 11 | 28.0.0.137 and earlier versions | Windows 10 and 8.1 |
| Adobe Flash Player Desktop Runtime | 28.0.0.137 and earlier versions | Linux |
Es handelt sich um eine Use after Free-Sicherheitslücke, die eine Remote Code Execution ermöglicht. Adobe hat für den 5. Februar 2018 einen Fix geplant. Ich hatte im Blog-Beitrag Neuer Adobe Flash Zero-Day-Exploit in freier Wildbahn letzten Donnerstag, auf Grund einer Warnung des koreanischen CERT berichtet und am Freitag, den 2. Februar 2018 den Hinweis auf das von Adobe veröffentlichte Security Advisory for Flash Player APSA18-01 nachgetragen.
In meinem Beitrag Slimjet 17.0.6 verfügbar meldete sich ein Blog-Leser (danke dafür) mit der Beobachtung, dass im Slimjet bereits im Verzeichnis Data\PepperFlash plötzlich die neue Version 28.0.0.161 des Flash Player auftauchte. Ein weiterer Nutzer verwies darauf, dass in ChromeOS die neue Version des Flash Player im Entwicklerkanal ebenfalls enthalten sei.
In meinem Google Chrome-Browser habe ich im Adressfeld chrome://components eingegeben, um die Seite aus obigem Screenshot abzurufen. Auch dort hat der Browser wohl den Adobe Flash Player automatisch aktualisiert.
Die Erklärung: Adobe hat den Patch wohl bereits vorige Woche fertig gestellt, wollte diesen aber nicht mehr sofort ausrollen, da man am Wochenende schlecht auf Probleme reagieren kann. Offenbar wurde die Sicherheitslücke nicht so gravierend eingestuft, dass man diese sofort mit einem Notfall-Patch schließen muss.
Neue Version 28.0.0.161 des Flash Player
Der Adobe Flash Player 28.0.0.161 wird für die Plattformen Windows, Macintosh, Linux und Chrome OS im Laufe des heutigen 5. Februar 2018 bereitgestellt. Wer die Auto-Update-Funktion des Flash-Player aktiviert und den Player separat installiert hat, sollte dieses Update automatisch bekommen. Bei Windows 8.1 und Windows 10 wird Microsoft das Update vermutlich am 6. Februar 2018ab 19:00 Uhr per Windows Update ausrollen. Beim Chrome Browser sollte dieser das Update ebenfalls automatisch ziehen.
Anzeige
Welche Flash-Player-Version habe ich?
Die installierte Flash-Version lässt sich auf dieser Adobe-Webseite abfragen. Dort lässt sich erkennen, ob der Flash-Player im Browser unterstützt wird, welche Version ggf. genutzt wird und welche Version bei Adobe zum Update bereitsteht.
Sofern Sie den Flash Player über dieser Adobe-Webseite aktualisieren, achten Sie darauf, dass die optionalen Angebote (McAfee Security Scan Plus und True Key von Intel) nicht mit installiert werden.
Achtung: Fake-Sites bieten ‚Update‘ mit Miner an
Zum Schluss noch eine fette Warnung. Ich bin mir sicher, dass einige Nutzer eine Suchmaschine ihres Vertrauens anwerfen, um nach Downloads des Flash Players zu suchen. Lasst die Finger davon, diesem Bericht nach gibt es erste Fake-Sites, die versuchen, einen Flash Player-Installer mit PUPs auf die Anwendersysteme zu schieben. Dieser Installer richtet dann einen Miner ein (siehe auch Achtung vor Fake-Flash Player-Updates).
Direkte Downloads des Flash-Player
Ergänzung: Man kann diverse Varianten des Adobe Flash Player von dieser Adobe-Seite direkt herunterladen (einfach ganz nach unten, zum Abschnitt ‚Still having problems?‘ blättern) – danke an Bolko für den Hinweis.
Ähnliche Artikel:
Adobe Flash Player Version 28.0.0.137
Neuer Adobe Flash Zero-Day-Exploit in freier Wildbahn
Microsoft Patchday: Office, Flash, Windows (9. Januar 2018)
Microsoft Office Patchday (6. Februar 2018)
Microsoft Patchday Summary 13. Februar 2018
Sicherheits-Updates für Windows 7/8.1 (13. Februar 2018)
Patchday: Windows 10-Updates 13. Februar 2018
Patchday: MS Office Sicherheitsupdates (13. Februar 2018)
Weitere Updates zum Microsoft Februar 2018-Patchday
„Sofern Sie den Flash Player über dieser Adobe-Webseite aktualisieren, achten für darauf…“
=> ‚diese‘ sowie ’sie‘ statt für.
:)
thx für die Info.
Hallo,
könntest du das automatische Erzeugen von diesen Hashtags im Betreff deines RSS-Feeds abstellen, nur weil der Feedgenerator meint, daß es sich angeblich um ein „mobiles“ Gerät handelt und dann das verwurstelt?
Vielen Dank…….
Hm, verstehe ich nicht. Die Tags füge ich temporär kurzzeitig ein (hat seinen Grund). Ich habe gerade meinen RSS-Feed im IE 11 überprüft – wie erwartet sind da keine Hashtags in den Überschriften.
Adobe Flash 28.0.0.161 Update steht Bereit auf die Seite für registrierte Verteiler :-)
Adobe hat aber wieder vergessen die Version Nummer im Text zu ändern :-(
Texte wurden jetzt angepasst :-)
DL:
– plugin
– ppapi
– actX
einfach nur alte Adressen von zB. community.webroot.com mit aktueller Nummer versehen. :)
ah, praktisch. Danke.
bitte löschen, da doppelt. System zeigte nichts an.
Adobe Flash Player Update 28.0.0.161 ist jetzt DA
zum
Download auf der offiziellen Adobe Site
einfach unten rechts auf Flash Player klicken
hö?
die direkten links von adobe stehn doch bereits da, ein post drüber.
Kommt teilweise daher, dass das CMS (habe ich so eingestellt) Erstlingsposts und Posts mit Links in den Ordner zur Moderation verschiebt und nicht anzeigt. Ich muss die Kommentare erst freigeben – mache ich alle paar Stunden. Ohne diese Maßnahme würde ich in den Kommentaren in SEO-Spam für Viagra, obskure IT-Dienstleistungen oder Kreditangebote ersaufen.
Wenn es kein offensichtlicher Doppelpost ist, mag ich die Kommentare nach Freigabe auch nicht immer löschen – daher kann es schon mal so was wie hier angemerkt geben.
Der gute alte Flash Player hat viele Jahre gute Dienste geleistet, aber mittlerweile ist er entbehrlich. Schon vor Monaten verabschiedete ich ihn in allen Ehren.
Für Windows 10 gibt es von MS für den integrierten Flash Player im Browser Edge und IE noch keinen Patch! Bin mal gespannt wann MS aktiv wird.
meistens/immer so 2-3 Tage nach Adobes-Freigabe.
OK Update wurde mir gerade von MS angeboten. KB 4074595
Ich wollte mich vom Adobe Flash Player loslösen,
aber zur Zeit geht es noch nicht ohne AFP.
Ohne AFP können manche Webseiten nicht geöffnet
werden.
Auf Online TV 14 können einige deutsche TV Sender
ohne AFP nicht gestartet werden. ( NDR HH, NDR SH
NDR MV ) Also habe ich AFP wieder installiert.
die oeffentlich-rechtlichen sender kann man im browser auch ohne flash schauen.
ndr niedersachsen/sh/hh/mv:
https://www.ndr.de/fernsehen/livestream/index.html
sender der ard (kein https):
http://www.ardmediathek.de/tv/live
sender vom zdf:
https://www.zdf.de/live-tv
Auf OTV14 können NDR SH,HH,MV
ohne AFP nicht gestartet werden.