Adobe behebt kritische Sicherheitslücken in Flash Player

Sicherheit
Flash Player (Bild: Adobe)

Sie erlauben es Angreifern, bei Flash Player 14.0.0.125 oder früher Browser-Cookies zu stehlen und sich damit dann bei zahlreichen Websites anzumelden. Google, Twitter und Tumblr haben eigene Maßnahmen dagegen ergriffen. Ebay ist dagegen weiterhin anfällig.

Adobe hat ein Sicherheitsupdate für Flash Player zur Verfügung gestellt, dass drei kritische Schwachstellen behebt. Eine davon können Angreifer ausnutzen, um Browser-Cookies zu stehlen und sich bei Websites wie Twitter und Tumblr anzumelden. Betroffen sind Flash Player 14.0.0.125 oder früher für Windows und Mac OS X sowie Flash Player 11.2.202.378 oder früher für Linux.

Adobe behebt kritische Sicherheitslücken in Flash Player 14.0.0.125

Entdeckt hat die Sicherheitslücke der Sicherheitsforscher Michele Spagnuolo. Ihm zufolge handelt es sich um eine Cross-Site-Request-Forgery-Lücke, die eine Same-Origin-Policy umgeht. Gegenmaßnahmen hätten bereits Google, Tumblr und YouTube ergriffen. Sie sollen einen Cookie-Diebstahl mithilfe manipulierter Flash-Dateien verhindern. Ebay sei hingegen noch immer anfällig für einen derart ausgeführten Angriff.

Wie Spagnuolo erklärt, muss die präparierte Flash-Datei nur aus alphanumerische Zeichen bestehen, damit sie die Lücke ausnutzen kann. Er habe das Tool Rosetta Flash entwickelt, das jede Flash-Datei so umwandle, dass sie diese Voraussetzung erfülle. “Das Problem ist in der Infosec-Community bekannt, aber bisher gab es keine Werkzeuge für die Erstellung gültiger SWF-Dateien, die nur ASCII- oder besser nur alphanumerische Zeichen enthalten”, schreibt er. Deshalb sahen sich namhafte Website-Betreiber bislang nicht gezwungen, etwas dagegen zu unternehmen.

Aus Adobes Security Bulletin geht zudem hervor, dass die zwei anderen mit dem aktueleln Pacth geschlosssnen Schwachstellen ausgenutzt werden können, um Sicherheitsmaßnahmen zu umgehen. Entdeckt hat sie der japanische Entwickler Masato Kinugawa.

Adobe rät Nutzern, auf Flash Player 14.0.0.145 für Windows und Mac OS X umzusteigen. Für Linux-Anwender ist die fehlerbereinigte Version 11.2.202.394 vorgesehen. Google und Microsoft haben das Plug-in in ihren Browsern Chrome sowie Internet Explorer 10 und 11 ebenfalls auf Version 14.0.0.145 aktualisiert. Nutzern von Adobe AIR SDK und Compiler steht die neue Version 14.0.0.137 zur Verfügung.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de