Kritische Sicherheitslücke in Macromedia Flash
Durch ein kritisches Sicherheitsloch in Macromedia Flash können Angreifer auf allen Systemen beliebigen Code ausführen; Macromedia korrigiert den Fehler mit einer neuen Version.
eEye Digital Security hat ein kritisches Sicherheitsloch in Macromedia Flash ausgemacht; Angreifer können auf allen Systemen beliebigen Code ausführen. Ein modifizierter Flash-Header mit einer größeren "Frame Data" führt laute eEye zu einem Buffer Overflow im Internet Explorer und Netscape, unabhängig vom Betriebssystem.
Es sei ein Einfaches, das Leck für beliebige Speichermanipulationen auszunutzen, meinen die Sicherheits-Experten. eEye sieht diese Lücke nicht nur wegen der Möglichkeit, beliebigen Code auszuführen, als besonders kritisch an, sondern insbesondere auch deswegen, weil sehr gezielte Angriffe vorgenommen werden können -- sei es über Webseiten, Newsgroups oder Mailing-Lists, die von Anwendern besucht beziehungsweise gelesen werden. Außerdem könne die Herkunft des Angreifers über Proxies und anonyme Remailer verschleiert werden.
Macromedia hat mittlerweile reagiert und stellt eine aktualisierte Flash-Version zum Download bereit. Doch wird das kaum der letzte Patch sein; eEye berichtet in seinem Advisory von 17 weiteren Sicherheitslücken, die in Flash gefunden wurden und an deren Behebung man zusammen mit Macromedia arbeite. (pab)
