1235068

Zwei neue Sicherheitslücken in Flash-Player

12.12.2011 | 07:00 Uhr |

Russische Sicherheits-Experten beweisen in einem Video, dass ihre Malware der Browser-Sandbox entgeht, liefern weitere Details aber nur für zahlende Kunden. Adobe ist hingegen noch mit dem Stopfen der zuvor aufgedeckten Sicherheitsmängel beschäftigt.

Flash Player 9 icon
Vergrößern Flash Player 9 icon
© Adobe

Zwei neu entdeckte Sicherheitslücken können in Adobes Flash-Player zum Ausführen von beliebigem Code ausgenutzt werden, bestätigen Berater von US-CERT (U.S.Computer Emergency Readiness Team) und weiteren Sicherheits-Experten. Beide Schwachstellen werden auch "Zero-Day-Lücken" genannt, da sie beide am Tag der Aufdeckung auch bereits attackiert und ausgenutzt werden.

Entdeckt wurden die Risiken von Mitarbeitern der russischen Sicherheits-Firma Intevydis , die prompt Malware-Beispiele für diesen Exploit in seine Test-Software Immunity-Canvas aufnahm und in einem Video präsentierte. Intevydis plant nicht, Einzelheiten der Sicherheitslücke an Adobe zu liefern und hält sich somit an seine Ankündigung von vor zwei Jahren, Software-Hersteller künftig nicht mehr zu informieren. Mit der Einstellung, künftig keine kostenlose Information über Softwarefehler zu liefern, steht Intevydis nicht alleine da: Auch die französische Sicherheits-Firma Vupen teilt ihre Forschungsergebnisse über entdeckte Lücken nur noch mit zahlenden Kunden.

Evgeny Legerov , der Gründer und CEO von Intevydis, zeigte am letzten Dienstag in einem Video in seinem Firmenblog , dass in seinem Malware-Test beide Sicherheitslücken im Flash-Player die Exploit-Sicherheitsmaßnahmen DEP und ASLR in Windows umgehen und von der Internet Explorer Sandbox nicht entdeckt werden. Legerov kündigte auch gleich an, dass demnächst auch die Ausnutzung unter Mac vorgeführt werden wird.

Sicherheitslücken im Flash-Player werden hauptsächlich durch eingebettete Malware in Webseiten und PDF-Dokumenten ausgenutzt. Meistens ist dann auch Adobe Reader und Acrobat betroffen, da diese Wiedergabe-Komponenten der Flash-Software enthalten.

Adobe hat zu dieser neuen Veröffentlichung noch keine Stellung genommen, sondern nur bestätigt, dass die Firma derzeit unter Hochdruck an der Behebung einer anderen Zero-Day-Lücke in Adobe Reader arbeitet und der Fix dafür in den nächsten Wochen erwartet wird. Wer sich bis zur Freigabe einer Lösung sofort schützen will sollte vorsichtshalber den Gebrauch von Flash sowohl im Internet-Browser als auch in Adobe Reader oder Acrobat blockieren.

0 Kommentare zu diesem Artikel
1235068