Die Rückkehr einer totgeglaubten Flash-Lücke
Trotz eines vor vier Jahren von Adobe veröffentlichten Patches für das Flex SDK kursieren immer noch verwundbare Shockwave-Flash-Elemente auf vielen Webseiten. Das könnten Angreifer ausnutzen und sensible Nutzer-Daten abgreifen.
Bereits 2011 veröffentlichte Adobe einen Patch (CVE-2011-2461), um eine Sicherheitslücke im Flex SDK zur Erzeugung von Shockwave-Flash-Elementen zu stopfen. Aktuell sind aber immer noch viele verwundbare Flash-Animationen auf Shockwave-Basis im Umlauf. Davon sollen auch viele populäre Webseiten betroffen sein, erklären zwei Sicherheitsforscher in ihrer Untersuchung. Für das Angriffsszenario seien alle aktuellen Webbrowser und Flash-Versionen anfällig.
Die Problematik des Patch-Vorgangs erläutern die Sicherheitsforscher so: Einerseits hat Adobe 2011 die Sicherheitslücke im Flex SDK gestopft. Multimedia-Dateien, die mit dem verwundbaren SDK erzeugt wurden, weisen die Schwachstelle jedoch weiterhin auf. Diese Applikationen müssen Admins entweder nochmals mit einer gepatchten Version des SDKs erzeugen oder mittels eines Adobe-Tools patchen. Damit Admins ihre Webserver auf solche Shockwave-Flash-Elemente untersuchen können, haben die Sicherheitsforscher das Tool ParrotNG veröffentlicht.
Hostet ein Anbieter verwundbare Flash-Animationen auf seinem Webserver, könnten Angreifer Nutzer-Informationen und -Daten abgreifen. Dabei laufen die Angriffe typischerweise über Bande (Same-Origin Request Forgery und Cross-Site Request Forgery). (des)