Flash-Update verhindert Cookie-Klau

Neben Microsoft hat auch Adobe den vergangenen Patch-Dienstag genutzt, um wichtige Sicherheits-Updates zu veröffentlichen. Das Unternehmen behebt damit drei Sicherheitsprobleme im Flash-Player. Eines davon ist besonders gefährlich, da die Informationen zur Ausnutzung der Lücke bereits öffentlich bekannt sind.

Durch speziell präparierte Flash-Dateien können Angreifer unter Umständen die Same-Origin-Policy des Browsers austricksen und Sitzung-Cookies abgreifen, die sich zur Account-Übernahme eignen. Der Google-Mitarbeiter Michele Spagnuolo hat die Schwachstelle ausführlich dokumentiert und ein Proof-of-Concept herausgegeben. Zu den beiden anderen Lücken sind keine Details bekannt, sie ermöglichen es, Sicherheitsfunktionen des Flash Player zu umgehen.

Betroffen sind sowohl Flash Player als auch AIR. Die abgesicherten Flash-Versionen lauten 14.0.0.145 für Windows und Mac OS X sowie 11.2.202.394 für Linux. Wie immer gilt, dass Flash von Google Chrome sowie von Windows ab Version 8 automatisch auf den aktuellen Stand gebracht wird. AIR wurde auf Version 14.0.0.137 aktualisiert. (rei)