Flash-Update verhindert Cookie-Klau

Wichtige Sicherheits-Updates für Adobe Flash: Sie schließen unter anderem eine bereits öffentlich dokumentierte Lücke, durch die Angreifer Sitzungs-Cookies stehlen können.

In Pocket speichern vorlesen Druckansicht 35 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Ronald Eikenberg

Neben Microsoft hat auch Adobe den vergangenen Patch-Dienstag genutzt, um wichtige Sicherheits-Updates zu veröffentlichen. Das Unternehmen behebt damit drei Sicherheitsprobleme im Flash-Player. Eines davon ist besonders gefährlich, da die Informationen zur Ausnutzung der Lücke bereits öffentlich bekannt sind.

Durch speziell präparierte Flash-Dateien können Angreifer unter Umständen die Same-Origin-Policy des Browsers austricksen und Sitzung-Cookies abgreifen, die sich zur Account-Übernahme eignen. Der Google-Mitarbeiter Michele Spagnuolo hat die Schwachstelle ausführlich dokumentiert und ein Proof-of-Concept herausgegeben. Zu den beiden anderen Lücken sind keine Details bekannt, sie ermöglichen es, Sicherheitsfunktionen des Flash Player zu umgehen.

Betroffen sind sowohl Flash Player als auch AIR. Die abgesicherten Flash-Versionen lauten 14.0.0.145 fĂĽr Windows und Mac OS X sowie 11.2.202.394 fĂĽr Linux. Wie immer gilt, dass Flash von Google Chrome sowie von Windows ab Version 8 automatisch auf den aktuellen Stand gebracht wird. AIR wurde auf Version 14.0.0.137 aktualisiert. (rei)