Kritische Schwachstelle im Flash Player wird aktiv ausgenutzt (Update)
Eine kritische Sicherheitslücke im aktuellen Flash Player wird bereits aktiv ausgenutzt, um Webnutzern Trojaner unterzuschieben. Ein Update gibt es noch nicht, doch Anwender können sich mit Zusatzsoftware schützen.
Symantec warnt vor einer Sicherheitslücke in Adobes Flash Player, die bereits aktiv von Webseiten missbraucht wird, um Nutzern der Software Trojaner unterzuschieben. Adobe analysiert den Fehler noch und kann daher bislang kein Update zur Verfügung stellen.
Laut Symantec liefern derzeit chinesische Server Code aus, der die Sicherheitslücke ausnutzt. Das Sicherheitsunternehmen nennt die Domains wuqing17173.cn und woai117.cn, das Internet Storm Center hat auch auf play0nlnie.com Exploit-Code gefunden. Dieser Code wird etwa von eingeschleusten Links in gehackten Webauftritten beispielsweise mit iframes aufgerufen, um auf die Rechner von Websurfern Trojaner einzuschleusen – alleine auf woai117.cn verweisen Symantec zufolge bereits mehr als 20.000 gehackte Webseiten, wie das Unternehmen mit einer Google-Suche festgestellt hat.
[Update]Der Schadcode scheint derzeit nur die Windows-Plattform anzugreifen, das ISC berichtet etwa von den nachgeladenen Dateien ax.exe und setip.exe. Die Lücke betrifft aber wahrscheinlich auch Flash Player für andere Plattformen. Damit ist es möglicherweise nur eine Frage der Zeit, bis die Schädlingsbastler auch Schadcode etwa für Linux oder Mac OS X entwickeln und ausliefern.[/Update]
Bis Adobe ein Update für die betroffene Version 9.0.124.0 und ältere Fassungen veröffentlicht, das die Lücke schließt, müssen und sollten Anwender selbst Hand anlegen, um sich vor bösartigen swf-Dateien zu schützen. Netzwerkadministratoren sollten etwa den Zugriff auf die bislang bekannten Domains auf dem Internet-Gateway blockieren. Die Firefox-Add-ons Flashblock und NoScript ersetzen in Webseiten eingebettete Flash-Objekte durch Platzhalter und laden sie erst auf Anweisung des Anwenders nach.
Nutzern des Internet Explorer hilft das Deaktivieren von Flash-Player-Objekten im Add-on-Manager. Auch das Setzen des Killbits für die ClassID d27cdb6e-ae6d-11cf-96b8-444553540000 bis zur Verfügbarkeit eines Updates hilft laut Symantec, sich vor den Angriffen zu schützen. IE-Nutzer können jedoch auch etwa mit dem c't-IE-Controller die Ausführung von Flash-Objekten verbieten und den Browser in eine Sandkiste verfrachten. Alternativ kann man den Flash Player auch bis zum Update Deinstallieren; Adobe bietet dafür einen eigenständigen Uninstaller an, der die Software vom Rechner entfernt.
Siehe dazu auch:
- Symantec ThreatCon, Warnung von Symantec
- Potential Flash Player issue, Fehlerbericht von Adobes Sicherheitsteam
- Malicious swf files?, Sicherheitsmeldung vom Internet Storm Center
(dmk)
