zurück zum Artikel

Durch ein kritisches Sicherheitsloch in Macromedia Flash können Angreifer auf allen Systemen beliebigen Code ausführen; Macromedia korrigiert den Fehler mit einer neuen Version.

eEye Digital Security [1] hat ein kritisches Sicherheitsloch in Macromedia Flash ausgemacht; Angreifer können auf allen Systemen beliebigen Code ausführen. Ein modifizierter Flash-Header mit einer größeren "Frame Data" führt laute eEye zu einem Buffer Overflow [2] im Internet Explorer und Netscape, unabhängig vom Betriebssystem.

Es sei ein Einfaches, das Leck für beliebige Speichermanipulationen auszunutzen, meinen die Sicherheits-Experten. eEye sieht diese Lücke nicht nur wegen der Möglichkeit, beliebigen Code auszuführen, als besonders kritisch an, sondern insbesondere auch deswegen, weil sehr gezielte Angriffe vorgenommen werden können -- sei es über Webseiten, Newsgroups oder Mailing-Lists, die von Anwendern besucht beziehungsweise gelesen werden. Außerdem könne die Herkunft des Angreifers über Proxies und anonyme Remailer verschleiert werden.

Macromedia hat mittlerweile reagiert und stellt eine aktualisierte Flash-Version zum Download [3] bereit. Doch wird das kaum der letzte Patch sein; eEye berichtet in seinem Advisory von 17 weiteren Sicherheitslücken, die in Flash gefunden wurden und an deren Behebung man zusammen mit Macromedia arbeite. (pab)

URL dieses Artikels:
https://www.heise.de/-68752

Links in diesem Artikel:
[1] http://www.eeye.com/html/
[2] http://www.heise.de/ct/01/23/216/
[3] http://www.macromedia.com/shockwave/download/frameset.fhtml?P1_Prod_Version=ShockwaveFlash

Copyright © 2002 Heise Medien