Adobe hat ein Sicherheitsupdate für Flash Player veröffentlicht, das drei als kritisch eingestufte Anfälligkeiten beseitigt. Darunter ist eine Schwachstelle, die es Hackern erlaubt, Browser-Cookies zu stehlen und sich bei Websites wie Twitter und Tumblr anzumelden. Davon betroffen ist Flash Player 14.0.0.125 oder früher für Windows und Mac OS X sowie Flash Player 11.2.202.378 oder früher für Linux.
Nach Angaben des Sicherheitsforschers Michele Spagnuolo, der das Leck entdeckt und an Adobe gemeldet hat, handelt es sich um eine Cross-Site-Request-Forgery-Lücke, die eine Same-Origin-Policy umgeht. Google, Tumblr, Twitter und Youtube hätten ihrerseits bereits Maßnahmen ergriffen, um einen Cookie-Diebstahl mittels manipulierter Flash-Dateien zu verhindern. Ebay hingegen sei weiterhin über die Lücke angreifbar.
Eine präparierte Flash-Datei darf Spagnuolo zufolge nur alphanumerische Zeichen enthalten, um die Anfälligkeit ausnutzen zu können. Das von ihm entwickelte Tool Rosetta Flash sei in der Lage, jede Flash-Datei so umzuwandeln, dass sie diese Voraussetzung erfülle. „Das Problem ist in der Infosec-Community bekannt, aber bisher gab es keine Werkzeuge für die Generierung von gültigen SWF-Dateien, die nur ASCII- oder besser nur alphanumerische Zeichen enthalten“, schreibt er in seinem Blog. Das habe auch namhafte Website-Betreiber dazu verleitet, bisher keine Maßnahmen gegen den Fehler zu ergreifen.
Die beiden anderen Schwachstellen, die Adobe beseitigt, ermöglichen einem Security Bulletin zufolge das Umgehen von Sicherheitsmaßnahmen. Sie wurden von dem japanischen Entwickler Masato Kinugawa entdeckt.
Adobe empfiehlt betroffenen Nutzern, auf Flash Player 14.0.0.145 für Windows und Mac OS X umzusteigen. Linux-Nutzer sollten die fehlerbereinigte Version 11.2.202.394 installieren. Darüber hinaus haben Google und Microsoft das in ihren Browsern Chrome beziehungsweise Internet Explorer 10 und 11 enthaltene Plug-in ebenfalls auf Version 14.0.0.145 aktualisiert. Nutzern von Adobe AIR SDK und Compiler steht die neue Version 14.0.0.137 zur Verfügung.
[mit Material von Dara Karr, News.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
