Adobe hat ein Sicherheitsupdate für Flash Player veröffentlicht, das drei als kritisch eingestufte Anfälligkeiten beseitigt. Darunter ist eine Schwachstelle, die es Hackern erlaubt, Browser-Cookies zu stehlen und sich bei Websites wie Twitter und Tumblr anzumelden. Davon betroffen ist Flash Player 14.0.0.125 oder früher für Windows und Mac OS X sowie Flash Player 11.2.202.378 oder früher für Linux.
Nach Angaben des Sicherheitsforschers Michele Spagnuolo, der das Leck entdeckt und an Adobe gemeldet hat, handelt es sich um eine Cross-Site-Request-Forgery-Lücke, die eine Same-Origin-Policy umgeht. Google, Tumblr, Twitter und Youtube hätten ihrerseits bereits Maßnahmen ergriffen, um einen Cookie-Diebstahl mittels manipulierter Flash-Dateien zu verhindern. Ebay hingegen sei weiterhin über die Lücke angreifbar.
Eine präparierte Flash-Datei darf Spagnuolo zufolge nur alphanumerische Zeichen enthalten, um die Anfälligkeit ausnutzen zu können. Das von ihm entwickelte Tool Rosetta Flash sei in der Lage, jede Flash-Datei so umzuwandeln, dass sie diese Voraussetzung erfülle. „Das Problem ist in der Infosec-Community bekannt, aber bisher gab es keine Werkzeuge für die Generierung von gültigen SWF-Dateien, die nur ASCII- oder besser nur alphanumerische Zeichen enthalten“, schreibt er in seinem Blog. Das habe auch namhafte Website-Betreiber dazu verleitet, bisher keine Maßnahmen gegen den Fehler zu ergreifen.
Die beiden anderen Schwachstellen, die Adobe beseitigt, ermöglichen einem Security Bulletin zufolge das Umgehen von Sicherheitsmaßnahmen. Sie wurden von dem japanischen Entwickler Masato Kinugawa entdeckt.
Adobe empfiehlt betroffenen Nutzern, auf Flash Player 14.0.0.145 für Windows und Mac OS X umzusteigen. Linux-Nutzer sollten die fehlerbereinigte Version 11.2.202.394 installieren. Darüber hinaus haben Google und Microsoft das in ihren Browsern Chrome beziehungsweise Internet Explorer 10 und 11 enthaltene Plug-in ebenfalls auf Version 14.0.0.145 aktualisiert. Nutzern von Adobe AIR SDK und Compiler steht die neue Version 14.0.0.137 zur Verfügung.
[mit Material von Dara Karr, News.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
