Adobe schließt kritische Lücke in Flash [Update]
Präparierte Flash-Applets können auf die Daten anderer im Browser dargestellten Webseiten zugreifen. Angreifer könnten dies zum Auslesen vertraulicher Daten oder zur Manipulation von Einstellungen in Nutzerkonten missbrauchen.
Das Sicherheits-Update 10.0.45.2 für Adobes Flash-Player und 1.5.3.1930 für AIR schließt eine kritische Sicherheitslücke, durch die Flash-Applets bestimmte Sicherheitsfunktionen aushebeln können, um ohne Nachfrage auf andere Webseiten zuzugreifen. Ein präpariertes Flash auf einer bösartigen Seite könnte die in einem weiteren Browserfenster angezeigten Informationen einer anderen Seite auslesen, beispielsweise Bankdaten und Ähnliches.
Normalerweise dürfen Flash-Applikationen nur auf die Ressourcen des Servers zugreifen, von dem sie geladen wurden. Um das Nachladen von Inhalten etwas flexibler zu gestalten, erlaubt [1] das Flash-Framework seit Version 7 sogenannten Cross-Domain-Requests, wozu die von einem Flash-Applet angefragte Seite die Datei crossdomain.xml ausliefert. Darin ist festgelegt, von welchen externen Seiten respektive Servern Flash-Applets derartige Anfragen stellen dürfen, ohne dass es zu einer Warnung im Flash-Player kommt.
Üblicherweise sind diese Vorgaben sehr restriktiv, sodass der Betreiber eine Webseite dort nur die Domains von Partnern und anderen vertrauenswürdigen Seiten einträgt. Durch die Lücke lässt sich diese Einschränkung aber offenbar umgehen; ein manipuliertes Flash einer beliebigen Webseite kann auch ohne Freigabe auf Objekte anderer Seiten zugreifen. Anwender sollten also nicht zögern, das Flash-Update so schnell wie möglich zu installieren.
Daneben behebt das Update eine nicht näher beschriebene Denial-of-Service-Schwachstelle. Ob es sich eventuell um die seit mehreren Monaten ungepatchte Schwachstelle handelt, für die Adobe sich kürzlich entschuldigte, müssen weitere Tests zeigen. Eigentlich wollte der Hersteller diese Lücke erst im nächsten Major-Release 10.1 beseitigen.
Das Update für den Flash Player steht für Windows, Mac OS X und Linux zum Download [2] bereit. Alternativ können Anwender auch die integrierte Update-Funktion verwenden. Das AIR-Update steht ebenfalls für Windows, Mac OS X und Linux zum Download [3] zur Verfügung.
[Update]:Nach Angaben [4] von Adobe steckt der Cross-Domain-Fehler auch in den aktuellen Versionen 9.3 und 8.2 des Reader für Windows, Mac OS X und Linux sowie in Acrobat. Ein Update ist allerdings erst für den 16. Februar geplant.
Siehe dazu auch:
- Security update available for Adobe Flash Player [5], Bericht von Adobe
- Adobe entschuldigt sich für ungepatchte Schwachstelle in Flash [6]
- Facebook und Myspace schließen Flash-Hintertüren [7]
URL dieses Artikels:
https://www.heise.de/-928881
Links in diesem Artikel:
[1] http://kb2.adobe.com/cps/142/tn_14213.html
[2] http://get.adobe.com/flashplayer/
[3] http://get.adobe.com/air/
[4] http://www.adobe.com/support/security/bulletins/apsb10-07.html
[5] http://www.adobe.com/support/security/bulletins/apsb10-06.html
[6] https://www.heise.de/news/Adobe-entschuldigt-sich-fuer-ungepatchte-Schwachstelle-in-Flash-925008.html
[7] https://www.heise.de/news/Facebook-und-Myspace-schliessen-Flash-Hintertueren-851675.html
Copyright © 2010 Heise Medien