Adobe hat zwei weitere Zero-Day-Lücken in Flash Player bestätigt. Die Details dazu fanden sich in den Geschäftsunterlagen, die dem italienischen Spähsoftwareanbieter Hacking Team entwendet wurden. Entdeckt haben die Schwachstellen die Sicherheitsunternehmen Fire Eye und Trend Micro. Adobe stuft sie unter Windows, Mac OS und Linux als kritisch ein.
Bei der Schwachstelle mit der Kennung CVE-2015-5123 handelt es sich Trend Micro zufolge um einen Value-of-trick-Bug, der einen Absturz des Flash Player auslösen kann. FireEye wiederum beschreibt in seinem Blog Details zu Beispielcode für die Flash-Lücke CVE-2015-5122 – einen Use-after-free-Bug in der Komponente DisplayObject. Dadurch ist es möglich, Schadcode einzuschleusen und auszuführen. In dem von Hacking Team entwickelten Proof of Concept starte der Windows-Taschenrechner, heißt es weiter in dem Blogeintrag.
„Da die Hacking-Team-Unterlagen öffentlich zugänglich sind, stellen sie ein Risiko für Nutzer dar“, schreibt Threat Analyst Peter Pi im Trend-Micro-Blog. „Deswegen raten wir Nutzern, Adobe Flash Player bis ein Patch zur Verfügung steht vorübergehend zu deaktivieren.“
Schon in der vergangenen Woche hatte Adobe 36 Löcher in Flash Player gestopft. Darunter war ebenfalls eine Anfälligkeit, die in den Dokumenten von Hacking Team beschrieben wird. Auch sie erlaubte es Hackern, die Kontrolle über ein betroffenes System zu übernehmen.
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.