Adobe hat ein Sicherheitsupdate für Flash Player veröffentlicht, das drei als kritisch eingestufte Anfälligkeiten beseitigt. Darunter ist eine Schwachstelle, die es Hackern erlaubt, Browser-Cookies zu stehlen und sich bei Websites wie Twitter und Tumblr anzumelden. Davon betroffen ist Flash Player 14.0.0.125 oder früher für Windows und Mac OS X sowie Flash Player 11.2.202.378 oder früher für Linux.
Nach Angaben des Sicherheitsforschers Michele Spagnuolo, der das Leck entdeckt und an Adobe gemeldet hat, handelt es sich um eine Cross-Site-Request-Forgery-Lücke, die eine Same-Origin-Policy umgeht. Google, Tumblr, Twitter und Youtube hätten ihrerseits bereits Maßnahmen ergriffen, um einen Cookie-Diebstahl mittels manipulierter Flash-Dateien zu verhindern. Ebay hingegen sei weiterhin über die Lücke angreifbar.
Eine präparierte Flash-Datei darf Spagnuolo zufolge nur alphanumerische Zeichen enthalten, um die Anfälligkeit ausnutzen zu können. Das von ihm entwickelte Tool Rosetta Flash sei in der Lage, jede Flash-Datei so umzuwandeln, dass sie diese Voraussetzung erfülle. „Das Problem ist in der Infosec-Community bekannt, aber bisher gab es keine Werkzeuge für die Generierung von gültigen SWF-Dateien, die nur ASCII- oder besser nur alphanumerische Zeichen enthalten“, schreibt er in seinem Blog. Das habe auch namhafte Website-Betreiber dazu verleitet, bisher keine Maßnahmen gegen den Fehler zu ergreifen.
Die beiden anderen Schwachstellen, die Adobe beseitigt, ermöglichen einem Security Bulletin zufolge das Umgehen von Sicherheitsmaßnahmen. Sie wurden von dem japanischen Entwickler Masato Kinugawa entdeckt.
Adobe empfiehlt betroffenen Nutzern, auf Flash Player 14.0.0.145 für Windows und Mac OS X umzusteigen. Linux-Nutzer sollten die fehlerbereinigte Version 11.2.202.394 installieren. Darüber hinaus haben Google und Microsoft das in ihren Browsern Chrome beziehungsweise Internet Explorer 10 und 11 enthaltene Plug-in ebenfalls auf Version 14.0.0.145 aktualisiert. Nutzern von Adobe AIR SDK und Compiler steht die neue Version 14.0.0.137 zur Verfügung.
[mit Material von Dara Karr, News.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
Noch keine Kommentare zu Sicherheitslücke in Flash Player erlaubt Cookie-Diebstahl
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.