Categories: Sicherheit

Vor vier Jahren gepatchte Adobe-Schwachstelle bedroht Website-Besucher

Sicherheitsforscher haben eine Schwachstelle in Adobes Flex-SDK-Compiler gefunden, die immer noch bekannte Websites betrifft, obwohl sie 2011 gepatcht wurde. Sie wurde bei der Konferenz Troopers 2015 präsentiert und anschließend von Mauro Gentile auf Full Disclosure veröffentlicht.

CVE-2011-2461 betrifft das Adobe Flex SDK 3.x und 4.x. Angreifer können aus der Ferne per HTML Scripts injizieren, indem sie das fürs Laden von Modulen genutzte System nutzen. So können sie Besuchern der betroffenen Sites Daten stehlen. Anfällige Flex-Anwendungen müssen erneut kompiliert oder gepatcht werden, um den von Adobe mit mittlerem Schweregrad bewerteten Fehler zu eliminieren.

Wurde eine Flash-Datei im .SWF-Format mit einem angreifbaren Flex-SDK kompiliert, ist der von den Forschern entwickelte Angriff realisierbar. Das Opfer, also den Besucher der Site, kann dann auch ein aktueller Browser und ein Flash-Plug-in auf dem neusten Stand nicht schützen.

Angreifer können durch Same-Origin Request Forgery Daten stehlen oder in deren Namen Aktionen auf der Site durchführen. Dazu müssen sie sich nur etwa eines vor vier Jahren oder früher kompilierten Flash-Films bedienen und ihn zwingen, ihren Schadcode zu laden.

Unter anderem führen mit den alten Versionen von Adobe Flex kompilierte Dateien keine ordnungsgemäße Validierung der Sicherheitsdomains von Modulen durch. Gentile schreibt: „Da HTTP-Anfragen Cookies enthalten und von der Domain des Opfers ausgehen, können HTTP-Antworten private Daten wie Anti-Cross-Site-Request-Forgery-Token und Nutzerinformationen enthalten.“

Gentile und seine Kollegen haben in großem Maßstab untersucht, wie verbreitet dieses Problem tatsächlich ist. Sie „ermittelten SWFs auf beliebten Websites und analysierten diese Dateien mit einem selbst geschriebenen Werkzeug, um Muster angreifbaren Codes zu entdecken.“ Man habe zahlreiche prominente Opfer gefunden, davon drei Sites, die sich in den Top 100 von Alexa finden.

„In den letzten Monaten haben wir unser Bestes getan, um einigen der größten Sites dieses Problem direkt zu vermitteln, aber ein größeres Publikum erreichen wir nicht, ohne die technischen Details öffentlich zu machen. Die vielen gefundenen anfälligen Anwendungen zeigen eindeutig, dass CVE-2011-2461 im Jahr 2011 nicht die nötige Aufmerksamkeit erhalten hat.“

Die Forscher haben nun ihr Java-Werkzeug ParrotNG verfügbar gemacht, das Flash-Dateien auf Verwundbarkeit prüft. Sie hoffen, damit das Problem dauerhaft ausrotten zu können. In den nächsten Tagen sollen zusätzliches Material und Fallstudien zu betroffenen Domains folgen.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Was macht attraktive Onlineshops und Co. in den Augen von Kunden aus?

Onlineshopping ähnelt zunehmend einem persönlichen Einkaufserlebnis in einem Offline-Geschäft. Mittlerweile haben Unternehmen reichliche Erfahrungen sammeln…

18 Stunden ago

Intel übertrifft die Erwartungen im vierten Quartal

Der Umsatz steigt auf 19,5 Milliarden Dollar. Es ist der höchste Quartalsumsatz in der Geschichte…

2 Tagen ago

Android-Apps unter Windows 11: Microsoft kündigt Betatest für Februar an

Microsoft realisiert die Funktion in Zusammenarbeit mit Intel und Amazon. Eigentlich sollte Windows 11 schon…

2 Tagen ago

Gartner: CO2-Emissionen von Hyperscalern beeinflussen Cloud-Einkauf

Nachhaltigkeitsinvestitionen werden zunehmen, da Umwelt-, Sozial- und Governance-Faktoren (ESG) die Berichterstattung der Unternehmen verändern.

2 Tagen ago

US-Handelsministerium: Chipkrise zieht sich bis ins zweite Halbjahr 2022

Ein Grund für die anhaltende Knappheit ist die weiterhin hohe Nachfrage. Ereignisse wie die Corona-Pandemie…

3 Tagen ago

Android-Malware stiehlt Geld und löscht Daten

Der Trojaner BRATA nimmt inzwischen auch Nutzer in den USA und Spanien ins Visier. Er…

3 Tagen ago