Neuer Flash-Player behebt SicherheitslĂĽcke
Macromedia hat einen neuen Flash-Player zum Download bereitgestellt, der einen Fehler behebt, der in Kombination mit Internet Explorer oder Opera zu einen Sicherheitsproblem wurde.
Macromedia hat einen neuen Flash-Player zum Download bereitgestellt, der Filme und Flash-Cookies lokal so ablegt, dass nur noch der Player selbst darauf zugreifen kann. Macromedia reagiert damit auf Sicherheitslücken im Internet Explorer und Opera, mit denen es möglich ist, beliebige lokale Daten auf dem PC zu lesen.
Da der Flash-Player Daten in einem relativ einfach vorhersagbaren Ordner speichert, kann ein Angreifer über manipulierte Webseiten spezielle Cookies ablegen und anschließend den Browser dazu bringen, dieses Cookie aus dem Flash-Ordner zu lesen. In einem bösartigen Cookie kann der Angreifer HTML- und Skript-Code speichern, den der Browser in der lokalen Sicherheitszone ausführt. Damit ist ein Angreifer in der Lage, das System unter seine Kontrolle zu bringen und beispielsweise weiteren Code nachzuladen. Entsprechende Exploits kursieren bereits im Internet.
In der aktualisierten Version 7.0.19.0 des Flash-Players können keine anderen Applikationen mehr auf Filme und Cookies zugreifen. Wie Macromedia dieses Problem gelöst hat, beschreibt der Hersteller in seinem Advisory nicht. Auf jeden Fall empfiehlt der Hersteller die neue Version zu installieren, da für den Internet Explorer und Opera noch keine Patches für diese Schwachstelle zu Verfügung stehen.
Zu weiteren Details der Kombination von Schwachstellen des Internet Explorers und Flash siehe auch: (dab)
- Kombination alter und neuer LĂĽcken im Internet Explorer macht PC verwundbar auf heise Security
- Security Advisory von Macromedia
