Sicherheitslücke in Flash Player erlaubt Cookie-Diebstahl

Google, Twitter und Tumblr haben bereits eigene Maßnahmen gegen den Missbrauch von Cookies ergriffen. Ebay ist aber weiterhin anfällig für die Schwachstelle in Flash Player. Das von Adobe veröffentlichte Update beseitigt insgesamt drei kritische Anfälligkeiten.

Adobe hat ein Sicherheitsupdate für Flash Player veröffentlicht, das drei als kritisch eingestufte Anfälligkeiten beseitigt. Darunter ist eine Schwachstelle, die es Hackern erlaubt, Browser-Cookies zu stehlen und sich bei Websites wie Twitter und Tumblr anzumelden. Davon betroffen ist Flash Player 14.0.0.125 oder früher für Windows und Mac OS X sowie Flash Player 11.2.202.378 oder früher für Linux.

Flash Player

Nach Angaben des Sicherheitsforschers Michele Spagnuolo, der das Leck entdeckt und an Adobe gemeldet hat, handelt es sich um eine Cross-Site-Request-Forgery-Lücke, die eine Same-Origin-Policy umgeht. Google, Tumblr, Twitter und Youtube hätten ihrerseits bereits Maßnahmen ergriffen, um einen Cookie-Diebstahl mittels manipulierter Flash-Dateien zu verhindern. Ebay hingegen sei weiterhin über die Lücke angreifbar.

Eine präparierte Flash-Datei darf Spagnuolo zufolge nur alphanumerische Zeichen enthalten, um die Anfälligkeit ausnutzen zu können. Das von ihm entwickelte Tool Rosetta Flash sei in der Lage, jede Flash-Datei so umzuwandeln, dass sie diese Voraussetzung erfülle. „Das Problem ist in der Infosec-Community bekannt, aber bisher gab es keine Werkzeuge für die Generierung von gültigen SWF-Dateien, die nur ASCII- oder besser nur alphanumerische Zeichen enthalten“, schreibt er in seinem Blog. Das habe auch namhafte Website-Betreiber dazu verleitet, bisher keine Maßnahmen gegen den Fehler zu ergreifen.

Die beiden anderen Schwachstellen, die Adobe beseitigt, ermöglichen einem Security Bulletin zufolge das Umgehen von Sicherheitsmaßnahmen. Sie wurden von dem japanischen Entwickler Masato Kinugawa entdeckt.

Adobe empfiehlt betroffenen Nutzern, auf Flash Player 14.0.0.145 für Windows und Mac OS X umzusteigen. Linux-Nutzer sollten die fehlerbereinigte Version 11.2.202.394 installieren. Darüber hinaus haben Google und Microsoft das in ihren Browsern Chrome beziehungsweise Internet Explorer 10 und 11 enthaltene Plug-in ebenfalls auf Version 14.0.0.145 aktualisiert. Nutzern von Adobe AIR SDK und Compiler steht die neue Version 14.0.0.137 zur Verfügung.

[mit Material von Dara Karr, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Neueste Kommentare 

Noch keine Kommentare zu Sicherheitslücke in Flash Player erlaubt Cookie-Diebstahl

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *