Lücken in Adobes Flash Player gefährden Systemsicherheit [Update]

Adobe hat ein Update für den Flash Player veröffentlicht, in dem zahlreiche Browser-übergreifende Sicherheitslücken beseitigt sind. Mehrere davon stuft der Hersteller als kritisch ein, da ein Angreifer mittels präparierter SWF-Dateien in Webseiten einen PC infizieren kann. Dazu genügt es bereits, eine Seite mit Flash-Filmen zu öffnen. Im Internet Explorer unter Windows ist der Flash-Player als ActiveX-Control bereits standardmäßig enthalten. Auch die Nutzer alternativer Browser dürften in Zeiten von YouTube und anderen multimedialen Angeboten alle ein passendes Plug-in von Adobe installiert haben und somit ebenso verwundbar sein.

Betroffen sind Adobe Flash Player 9.0.48.0 und vorhergehende Versionen, 8.0.35.0 und frühere Versionen sowie 7.0.70.0 und frühere Fassungen unter Windows, Mac OS X und Linux. Der Hersteller rät allen Anwendern, so schnell wie möglich die neue Flash-Version 9.0.115.0 hier herunterzuladen und zu installieren: Adobe Flash Player Download Center.

Anwender, die das automatische Update aktiviert haben, sollten eine neue Version bereits angeboten bekommen haben. Für Anwender, die aus bestimmten Gründen den Flash Player in Version 7 weiter benutzen wollen oder müssen, hält der Hersteller eine gepatchte Version 7 zum Download bereit. Solaris-Nutzer bekommen das fehlerbereinigte Update 9.0.47.0 erst zu einem späterem Zeitpunkt angeboten. Bis dahin rät Adobe, die Beta-Version aus den Adobe Labs zu installieren.

Die Sicherheitslücken beruhen unter anderem auf Heap Overflows, die beim Parsen von SWF-Dateien auftreten und durch die sich Code einschleusen und mit den Rechten des Anwenders ausführen lässt. Laut Tipping Point tritt dies unter anderem beim Verarbeiten von in SWF-Dateien eingebetteten manipulierten JPG-Bildern auf. Zudem gibt es Schwachstellen, mit der sich die Domain-Policy des Player aushebeln lässt und mit denen sich Cross-Site-Scripting-Attacken durchführen lassen.

Der Flash Player hat ähnlich wie Webbrowser aus Sicherheitsgründen eine Beschränkung, welches Dokument oder Datei worauf zugreifen darf. So darf der Player etwa nur Daten an Seiten senden, von denen er eine SWF-Datei geladen hat. Besonders wichtig ist dies, weil Flash mit ActionScript 3 eine komfortable Script-Sprache ähnlich JavaScript unterstützt – und dass JavaScript zu einem Sicherheitsproblem werden kann, beweisen zahlreiche Cross-Site-Scripting-Schwachstellen von Webseiten und in Browsern.

Außerdem lassen sich HTTP-Header manipulieren, was Angreifer für so genannte HTTP-Request-Splitting-Attacken ausnutzen kann. Zudem lässt sich über ActionScript herausfinden, welche Ports auf einem PC geöffnet sind. Laut Fehlerbericht ließe sich dies für Port-Scanning von entferten Rechnern missbrauchen.

Bislang gibt es noch keine Meldungen, dass Webseiten die Lücken in Flash aktiv ausnutzen. Glücklicherweise erlaubt etwa YouTube nur das Hochladen von Dateien in den Formaten WMV, AVI, MOV und MPG und kodiert diese selbst ins Flash-Format, sodass man dort keine präparierten Filme finden dürfte. Auch MySpace erstellt aus den hochgeladenen Filmen einen neuen Flash-Film. Auf anderen Seiten kann dies jedoch anders aussehen. Anwender sollten erwägen, zusätzlich einen Flash-Blocker zu installieren, beispielsweise FlashBlock für den Firefox. Damit wird das Laden und Abspielen eines Flash-Films bis zur Freigabe durch den Anwender verhindert.

Update
Die Port-Scanning-Schwachstelle im Flash Player ist bereits seit August dieses Jahres bekannt. Auf dem CCCamp führte der Entdecker der Lücke, ein Hacker mit dem Pseudonym "fukami",vor wie ActionScript die auf dem Rechner geöffneten Ports herausfindet. Eine Demo und eine genauere Beschreibung des Problems sind hier zu finden: Design flaw in AS3 socket handling allows port probing. Damit lässt sich auch testen, ob das Update von Adobe oder der vorgeschlagene Workaround wirklich funktionieren..

Siehe dazu auch:

• Flash Player update available to address security vulnerabilities, Fehlerbericht von Adobe
• Adobe Flash Player JPG Processing Heap Overflow Vulnerability, Fehlerbericht von Tipping Point

(dab)