Sicherheitsleck in Adobes Flash Basic, Professional und CS3 Professional
Adobe hat eine Sicherheitslücke in Flash Basic, Professional und der Creative Suite 3 Professional bestätigt, durch die per manipulierter .fla-Datei eingeschleuster Schadcode ausgeführt werden kann.
Adobe hat eine Sicherheitslücke in Flash Basic, Professional und der Creative Suite 3 Professional bestätigt, durch die bösartige Individuen mit präparierten .fla-Dateien etwa einen Trojaner einschleusen können. .fla-Dateien enthalten den Quelltext für Flash-Animationen.
Details zu der Lücke verraten weder Fortinet, die die Lücke entdeckt haben, noch Adobe selbst. Ein Hacker namens cocoruder hat jedoch in einer E-Mail auf der Mailingliste Full Disclosure erläutert, dass durch das Ändern einiger Adressen in einer .fla-Datei die Adobe-Software beim Verarbeiten ins Straucheln gerät und fremder Code aufgerufen werden kann.
Adobe hat die Lücke in Flash Basic 8, Flash Professional 8 und CS3 Professional bestätigt und einen Fix für die nächsten Versionen angekündigt. Laut cocoruder betreffen die Schwachstellen jedoch auch Macromedia Flash MX 2004. Die Mac-Versionen von Flash Basic und Professional sollen hingegen nicht anfällig sein. Nutzer, die .fla-Dateien etwa zu Bildungszwecken aus dem Netz herunterladen, sollten darauf achten, lediglich Dateien aus vertrauenswürdigen Quellen zu öffnen.
Siehe dazu auch:
- Adobe Flash CS3 Professional Multiple .FLA Parsing Vulnerabilities, Sicherheitsmeldung von Fortinet
- Potential vulnerability in Flash CS3 Professional, Flash Professional 8 and Flash Basic 8, Fehlermeldung von Adobe
- Adobe Flash CS3 Professional FLA File Parsing Multiple Local Code Execute Vulnerabilities, Fehlerbericht von cocoruder auf Full Disclosure
(dmk)