Nach Hacking-Team-Leak: Zwei neue Flash-Lücken aufgetaucht
Schon wieder muss Adobe kritische Lücken im Flash-Player stopfen, die wohl aus dem Fundus des gehackten Schnüffel-Tool-Herstellers Hacking Team stammen. Ein Patch solle aber erst im Laufe der Woche kommen.
Offenbar in Folge des Einbruches beim Schnüffelsoftware-Hersteller Hacking Team sind zwei weitere kritische Lücken in Adobes Flash-Player bekannt geworden. Wie Adobe mitteilt, betreffen die mit den Kennungen CVE-2015-5122 und CVE-2015-5123 versehenen Zero-Day-Lücken Flash-Player-Installationen unter Windows, Mac und Linux. Ausnutzung der Schwachstellen könnte zu Abstürzen führen sowie dazu, dass Angreifer das betroffene System übernehmen.
Patches für die Lücke will das Unternehmen aber erst im Laufe der kommenden Woche bereitstellen. Angreifbar seien die Versionen bis 18.0.0.203 für Windows und OS X, bis 18.0.0.204 für Chrome unter Linux, ferner die ESR-Versionen bis 13.0.0.302 für Windows und Mac sowie die ESR-Versionen bis 11.2.202.481 für Linux.
CVE-2015-5122 schon in Exploit-Kits
Entdeckt haben die Lücken Sicherheitsexperten von Fireeye sowie von Trend Micro. Beide ähneln wohl der Lücke CVE-2015-5119, die vergangene Woche entdeckt und mit einem Notfall-Update gepatcht wurde. Damit steigt die Zahl der Zero-Day-Lücken, die von Spionage-Tools des gehackten Herstellers Hacking Team ausgenutzt wurden, auf mindestens drei. Beim vor wenigen Tagen bekannt gewordenen Hack gegen die Firma wurden über 400 GByte an Dateien, E-Mail-Verkehr und Quellcode geleakt.
Laut dem Blog Malware don't need coffee soll zumindest CVE-2015-5122 auch schon seinen Weg in erste Exploit-Kits gefunden haben. Nutzer sollten also den Flash Player möglichst deaktivieren oder komplett deinstallieren, bis ein Patch verfügbar ist.
Russische Exploitkompetenz
Ob Hacking Team die Lücken selbst entdeckt oder von Hackern gekauft hat, ist unklar. Ein Bericht von Ars Technica zeigt, dass Exploit-Käufe offenbar nicht unübliche Praxis im Unternehmen waren. So dokumentieren E-Mails aus dem umfassenden Leak des Unternehmens unter anderem einen solchen Handel von 2013: Ein russischer Hacker bot sein Wissen um verschiedene Schwachstellen feil und konnte einen Flash-Exploit für 45.000 US-Dollar verkaufen. Die prüfenden Mitarbeiter vom Hacking Team lobten offenbar die hohe Qualität des Exploits, das Geschäftsverhältnis soll noch bis April 2015 gelaufen sein. (axk)
