1914793

Lücken in Flash Player und Chrome geschlossen

12.03.2014 | 15:41 Uhr |

Adobe hat ein Sicherheits-Update für den Flash Player bereit gestellt, das zwei Lücken schließt. Google hat seinen Web-Browser Chrome aktualisiert, um den neuen Flash Player zu integrieren und etliche Bugs auszumerzen.

Noch bevor Microsoft gestern seine Security Bulletins zum monatlichen Patch Day veröffentlicht hat, ist Adobe vorgeprescht, um ein neues Sicherheits-Update für den Flash Player vorzustellen. Im Flash Player 12.0.0.77 für Windows und Mac haben die Adobe-Entwickler zwei Sicherheitslücken beseitigt. Eine dieser Schwachstellen ermöglicht es einem Angreifer die so genannte Same Origin Policy zu umgehen. Flash-Objekte, die das ausnutzen, können auch auf Inhalte zugreifen, die von anderen Domains stammen.

Die zweite Sicherheitslücke, die Adobe geschlossen hat, kann es einem Flash-Objekt erlauben den Inhalt der Zwischenablage auszulesen. So könnte etwa ein mit Flash realisiertes Werbebanner die Anmeldedaten für eine Website abgreifen, falls der Benutzer diese über die Zwischenablage einfügt. Den Inhalt der Zwischenablage zu verändern ist hingegen auf diesem Wege nicht möglich.

Der neueste Flash Player wird bei Windows meist automatisch über den Adobe Flash Player Update Service eingespielt. Unter Windows 8.x, RT und Server 2012 erhält der Internet Explorer 10 und 11 den neuesten Flash Player über Windows Update. Hier ist der Flash Player in den IE integriert. Das gilt ebenso für Googles Web-Browser Chrome, der über den Google Update-Dienst aktualisiert wird.

Google hat am Dienstag ein Chrome-Update bereit gestellt, das auch den Flash Player 12.0.0.77 enthält. Die neue Chrome-Version 33.0.1750.149 beseitigt außerdem sieben Sicherheitslücken. Drei dieser Schwachstellen, die Google als hohes Risiko einstuft, wurden durch externe Sicherheitsforscher entdeckt und gemeldet. Google schüttet dafür Prämien in Höhe von insgesamt 8000 US-Dollar aus.

Selbst entdeckt haben die Google-Programmierer eine Schwachstelle, die es eingeschleustem Code ermöglichen könnte aus der Sandbox auszubrechen. Im Kombination mit irgendeiner anderen Lücke, die es erlaubt Code einzuschleusen, könnte dieser Code so auf das System zugreifen – was die Sandbox an sich verhindern soll. Außerdem haben die Entwickler einige Lücken in der Javascript-Engine V8 geschlossen.

0 Kommentare zu diesem Artikel
1914793