Flash Player and AIR

Die Schwachstelle steckt in Adobe Flash Player sowie in Adobe AIR – einschließlich der zugehörigen Laufzeitumgebung, des AIR SDK und des AIR SDK & Compiler. Ursache ist ein Integer-Überlauf: Bei der Verarbeitung bestimmter Eingaben läuft eine Ganzzahlberechnung über ihren zulässigen Wertebereich hinaus, wodurch die Software Speicher fehlerhaft verwaltet. Ein Angreifer kann diesen Defekt ausnutzen, um beliebigen Programmcode auf dem betroffenen System auszuführen. Die genauen Angriffswege sind nicht näher beschrieben; typischerweise reicht bei Flash-Inhalten das Aufrufen einer präparierten Webseite oder das Öffnen einer manipulierten Datei aus. Betroffen sind die Flash-Player-Versionen unter Windows, macOS und Linux gleichermaßen sowie die AIR-Komponenten zur Entwicklung und Ausführung plattformübergreifender Anwendungen. Da Flash-Inhalte häufig direkt im Browser ausgeführt werden, ist die Angriffsfläche entsprechend breit und betrifft Endanwender unmittelbar.