zurück zum Artikel

Durch eine Cross-Site-Scripting-Lücke im Flash-Plugin können Angreifer die Kontrolle über personalisierte Webseiten des Opfers übernehmen. Betroffen sind alle Plattformen.

Adobe hat gestern die Sonntagsruhe unterbrochen, um schnellstmöglich eine Cross-Site-Scripting-Lücke [1] in Flash zu schließen, die bereits aktiv ausgenutzt wird. Durch die Lücke kann ein Angreifer Kontrolle über personalisierte Webseiten des Opfers übernehmen, also etwa dessen Webmail-Zugang kapern. Dazu muss er ihn zuvor nur auf eine präparierte Webseite locken. Genauere Angaben macht der Hersteller nicht.

Verwundbar sind die Flash-Versionen 10.3.181.16 für Windows, Mac OS X, Linux, Solaris und Android. Adobe rät allen Anwendern, die aktuelle Version 10.3.181.22 umgehend zu installieren [2]. Nutzer des Internet Explorer müssen zudem noch das ActiveX-Plugin aktualisieren, das bereits bei Versionsnummer 10.3.181.23 angelangt ist. Welcher Version der Browser derzeit nutzt, erfährt man bei Adobe [3].

Google hat ebenfalls schon reagiert und mit Chrome 11.0.696.77 eine aktualisierte Version seines Browsers veröffentlicht, welche den aktualisierten Flash-Player enthält. Das Update installiert sich beim Schließen des Browsers automatisch, die aktuelle Version kann man über das Schraubenschlüssel-Symbol und einen Klick auf "Info zu Google Chrome" abfragen. Android-Nutzer müssen sich noch gedulden: Adobe will die Smartphone-Version erst im Laufe dieser Woche auf den neuesten Stand bringen. Derzeit untersucht der Hersteller noch, ob auch Reader und Acrobat durch ihr Flash-Plugin angreifbar sind.

Siehe dazu auch:

• Adobe Flash Player [4] im heise Software-Verzeichnis

(rei [5])

URL dieses Artikels:
https://www.heise.de/-1255438

Links in diesem Artikel:
[1] http://www.adobe.com/support/security/bulletins/apsb11-13.html
[2] http://get.adobe.com/de/flashplayer/
[3] http://www.adobe.com/software/flash/about/
[4] http://www.heise.de/software/download/adobe_flash_player/1753
[5] mailto:rei@heise.de

Copyright © 2011 Heise Medien