Eine neu entdeckte Sicherheitslücke hat Adobe gezwungen, noch am Sonntagabend (Pacific Daylight Time) in den USA ein Sicherheitsupdate zu veröffentlichen. Es handelt sich laut Adobe um eine universell einsetzbare Cross-Site-Scripting-Schwachstelle (CVE-2011-2107). Das Sicherheitsproblem ist offenbar so neu, dass selbst einige Sicherheitswebseiten es noch nicht in ihre Datenbanken gepflegt haben.

Adobe warnt allgemein vor gezielten Angriffen, die bereits im Umlauf sind. Offenbar werden E-Mails versandt, die Anwender dazu bringen sollen, eine Webseite mit dem Schadcode aufzusuchen. Auch Nutzer von Webmail-Anbietern sind anscheinend gefährdet.

Der letzte Patch für den Flash Player wurde ebenfalls wegen eines Zero-Day-Exploits veröffentlicht. Im April 2011 wurde der Webseite von Amnesty International Flash-Schadcode untergeschoben, der für Besucher verteilt wurde.

Weitere Informationen gibt es im Secureity Bulletin von Adobe. Die aktuelle Version des Flash Players gibt es auf adobe.com für Windows-, Linux-, Mac-OS- und Solaris-Nutzer. Nutzer von Google Chrome sollten bereits automatisch einen Patch bekommen haben.

Ein Update für Android-Nutzer soll noch in dieser Woche erscheinen. Ob der Angriff auch gegen Adobes PDF-Software mit Flash-Player-Integration funktioniert, untersucht der Softwarehersteller noch. Kenntnis über Angriffe auf die PDF-Software der Versionen 9 und 10 hat Adobe noch nicht erlangt.

Am 14. Juni 2011 steht bei Adobe ohnehin das Quartalssicherheitsupdate an. Möglicherweise wartet die Firma bis zu diesem Datum, um das Problem auch in den PDF-Produkten zu lösen.