Russen veröffentlichen Zero-Day-Exploit für Flash Player 11

Das russische Sicherheitsunternehmen InteVyDis hat anscheinend einen Exploit für eine Zero-Day-Lücke in Adobes Flash Player 11 veröffentlicht. Das berichtet Ars Technica.

Die aktuelle Version von Adobes Software – Flash Player 11.1.102.55 – enthält demnach eine kritische Schwachstelle, über die sich Schadcode einschleusen und ferngesteuert ausführen lässt. Secunia hat ein Sicherheitsbulletin dazu veröffentlicht.

InteVyDis hat ein Video zur Demonstration des Exploits verfügbar gemacht. Er funktioniert angeblich unter Windows XP und Windows 7 mit Internet Explorer, Firefox und Chrome. Eine Version für Mac OS X soll folgen.

Die russische Sicherheitsfirma ist in der Vergangenheit häufig wegen ihrer Politik kritisiert worden, Lücken nicht etwa dem Hersteller zu melden, sondern seinen Kunden eine sogenannte „Step Ahead“-Edition des Frameworks VulnDisco anzubieten. Preise dafür gibt es nur auf Anfrage. InteVyDis wirbt damit, dass seine Software Zero-Day-Exploits für beliebte client- und serverseitige Anwendungen enthält.

Am Mittwoch hatte Adobe selbst eine Sicherheitswarnung für Adobe Reader und Acrobat veröffentlicht. Eine kritische Schwachstelle steckt in den Versionen 10.1.1 und früher sowie 9.4.6 und früher unter Windows und Mac OS X. Auch die Linux-Version von Reader 9.x und früher ist betroffen. Das Loch wird unter Windows für zielgerichtete Angriffe gegen Reader 9 ausgenutzt.

Die Sicherheitslücke könnte nach Unternehmensangaben einen Absturz der Anwendung auslösen und es einem Angreifer ermöglichen, die vollständige Kontrolle über ein System zu übernehmen. Adobe Reader für Android sowie der Adobe Flash Player seien nicht anfällig.