Bisher unbekannte Angreifer hatten beim Angriff auf das italienische Unternehmen Hacking Team über 400 GB Daten erbeutet und veröffentlicht. Hacking Team liefert Spionage-Software an viele Regierungen dieser Welt. Den im Internet geleakten Daten ist aber auch zu entnehmen, dass das Hacking Team bisher unbekannte Sicherheitslücken im Flash Player von Adobe kannte. Das berichten die Sicherheitsexperten von Trend Micro in einem Blog-Eintrag.
Eine dieser Lücken, so Trend Micro weiter, bezeichnet das Hacking Team in den Dokumenten als “den schönsten Flash-Bug der letzten vier Jahre.” In den Dokumenten ist auch ein Proof-of-Concept enthalten, in dem demonstriert wird, wie unter Ausnutzung der Flash-Lücke unter Windows der Windows-Taschenrechner geöffnet wird. Außerdem erläutert das Hacking Team, dass sich die Lücke in Verbindung mit allen gängigen Browsern ausnutzen lässt. Angreifer können die Lücke missbrauchen, um die Kontrolle über einen angegriffenen Rechner zu übernehmen.
Erst der Leak hat nun dazu geführt, dass die betreffende Lücke mittels einer CVE-Nummer (Common Vulnerabilities and Exposures) dokumentiert worden ist und Adobe davon erfahren hat. Laut Trend Micro sei auch bereits eine Attacke registriert worden, bei der die Lücke ausgenutzt wird.
Flash Player 18.0.0.203: Adobe bietet Notfall-Update für den Flash Player an
Adobe hat daraufhin umgehend reagiert. In einem Security Bulletin stuft Adobe die Flash-Player-Lücke CVE-2015-5119 als “kritisch” ein. Betroffen sind unter Windows und Macintosh alle Flash-Player-Versionen bis hin zu Flash Player 18.0.0.194. Unter Linux der Flash Player 11.2.202.468 und alle früheren Versionen.
Auf der Website von Adobe findet sich bereits der neue Flash Player 18.0.0.203, bei dem die Lücke geschlossen wurde.
Autor: Panagiotis Kolokythas, Chefredakteur
Panagiotis "Takis" Kolokythas schreibt seit über 20 Jahren News, Ratgeber und Tipps zu fast allen IT-Themen.