93470

Flash-Lücke: Verbreitung per Youtube &Co. – Nintendos Wii auch betroffen

23.07.2007 | 11:06 Uhr |

Erst kürzlich war eine neue Sicherheitslücke in Adobes Flash bekannt geworden. Für Windows & Co. ist bereits ein Update erschienen. Die Lücke betrifft allerdings auch Nintendos Wii und alle anderen Geräte, auf denen Flash-basierte Inhalte abgespielt werden können. Angreifer könnten einfach einen Online-Video-Dienst á la Youtube nutzen, um einen Angriff zu starten.

Die kürzlich bekannt gewordene Sicherheitslücke in Adobes Flash betrifft nicht nur Windows, sondern auch andere Plattformen, auf denen Flash genutzt wird. Inklusive Nintendos Spielekonsole Wii, für die der Browser Opera verfügbar ist.

Die Sicherheitsexperten von Symantec erklären in ihrem Blog , die interessanteste Eigenschaft der Sicherheitslücke sei, dass es sich bei dieser um eine plattformübergreifende Anfälligkeit handele. „Die Entdeckung dieser einen Anfälligkeit könnte alle Betriebssysteme und Geräte, die Flash-fähig sind, für eine Attacke öffnen“, heißt es im Blog-Eintrag.

Vorab sei die Lücke bereits unter Windows, Apples Mac und bei diversen Linux-Distributionen bestätigt worden. In allen Fällen bringt die Lücke die jeweiligen Browser zum Absturz, sobald eine speziell präparierte Website aufgerufen wird. Symantec hat herausgefunden, dass auch die Spielekonsole Nintendo Wii von der Sicherheitslücke betroffen ist. Bei der Konsole kommt ein Browser von Opera zum Einsatz, der Flash unterstützt. Wie sich die Sicherheitslücke auf der Nintendo Wii auswirkt, demonstriert Symantec in diesem Video . Die Kurzzusammenfassung: Die Nintendo Wii stürzt ab.

Die Lücke hat Adobe bereits im Bulletin APSB07-12 dokumentiert. Dort werden auch Updates für Flash gelistet, durch die die Sicherheitslücke geschlossen wird. Für den Browser der Nintendos Wii existiert aber derzeit noch kein Update.

Jeder darf selbst ausprobieren, ob sein Browser von der Lücke betroffen ist, indem Youtube.com angesteuert wird, dort nach dem Video „FLV Bug Demo“ gesucht wird und das entsprechende Video gestartet wird. Der Aufruf des Videos bringt den Browser zum Absturz, falls die Lücke noch nicht geschlossen worden ist.

Bei dem betreffenden Video handelt es sich lediglich um ein harmloses Proof-of-Concept-Video, welches die Wirksamkeit der Sicherheitslücke beweist und lediglich den Browser zum Absturz bringt. Dieses Demo-Video zeigt allerdings auch, dass bei dieser und ähnlichen Lücken Angreifer lediglich ein Video bei einem Online-Video-Dienst hochladen müssten, um einen Angriff zu starten. Mit anderen Worten: Die Angreifer benötigen nicht mal einen eigenen Webserver, um dort eine schadhafte Datei abzulegen. Das könnte die Betreiber von solchen Online-Video-Diensten künftig dazu zwingen, zu überprüfen, ob die dort von Anwendern hochgeladenen Videos ungefährlich für die Betrachter sind.

0 Kommentare zu diesem Artikel
93470