150714

Shockwave Installer ermöglicht Missbrauch

27.02.2006 | 15:10 Uhr |

Durch die automatische Installation des Shockwave Plug-ins könnte schädlicher Code eingeschleust werden.

Ein Fehler im Installationsprogramm für den Macromedia Shockwave Player von Adobe lässt sich ausnutzen, um schädlichen Code auszuführen. Dies meldet die Zero Day Initiative ( ZDI ), ein von 3Com gegründetes Sicherheitsportal, in einer Sicherheitsempfehlung .

Um den Fehler auszunutzen, müsste ein Angreifer ein potenzielles Opfer auf eine Web-Seite locken, die aktive Inhalte bereit hält, für die der Shockwave Player erforderlich ist. Ist dieser nicht auf dem Rechner des Opfers installiert, wird eine automatische Installation des Plug-ins angestoßen. Durch absichtlich überlange Parameter beim Aufruf des Online-Installationsprogramms kommt es zu einem Absturz, den ein Angreifer ausnutzen kann.

Betroffen wären allerdings nur Benutzer des Internet Explorers, da der Fehler durch einen Pufferüberlauf in einem ActiveX-Steuerelement ausgenutzt werden kann. Die Installation des Plug-ins muss nicht vollständig abgeschlossen werden, damit der eingeschleuste Code aktiv werden kann. Die Sicherheitslücke besteht in Versionen des Macromedia Shockwave Players bis einschließlich 10.1.0.11.

Anwender, die den Shockwave Player bereits installiert haben, müssen kein Update vornehmen. Der Fehler liegt nicht im Plug-in selbst. Adobe hat eine korrigierte Fassung des Installationsprogramms bereitgestellt, sodass inzwischen keine Gefahr mehr besteht. In einer seiner Sicherheitsempfehlung ordnet der Hersteller das Problem als "kritisch" ein. Fälle, in denen der Fehler ausgenutzt wurde, sind jedoch nicht bekannt.

Adobe hatte die Übernahme des vormaligen Konkurrenten Macromedia Anfang Dezember 2005 abgeschlossen ( wir berichteten ).

0 Kommentare zu diesem Artikel
150714