113144

Adobe stopft kritische Lücke im Flash Player

09.04.2008 | 15:12 Uhr |

Adobe hat seine Software Flash Player in der neuen Version 9.0.124.0 bereit gestellt, in der insgesamt sieben Sicherheitslücken geschlossen worden sind. Darunter ist auch die, mit der kürzlich bei einem Hacker-Wettbewerb ein Vista-Notebook geknackt wurde.

Auf der Sicherheitskonferenz CanSecWest 2008 im März im kanadischen Vancouver hat Shane Macaulay im Rahmen des Wettbewerbs "PWN 2 OWN" ein Notebook mit Windows Vista SP1 gehackt , indem er eine eine bis dahin nicht bekannte Schwachstelle im Flash Player von Adobe ausnutzte. Diese Sicherheitslücke und noch sechs weitere hat Adobe nun geschlossen und die neue Version 9.0.124.0 des Flash Players bereit gestellt.

Um auch unter Vista SP1 diese Flash-Lücke ausnutzen zu können, hat Macaulay einen Umweg über Java eingeschlagen. Andernfalls hätte der Sicherheitsmechanismus Data Execution Prevention (DEP) den Hack verhindert. Bei Java ist die DEP ausgeschaltet, weil Java sonst nicht richtig funktioniert. Die eigentliche Schwachstelle in Flash sind manipulierte ActionScript-Objekte in Flash-Dateien. Dazu genügt es eine Web-Seite aufzurufen, die eine derart präparierte Flash-Datei lädt.

Andere Sicherheitslücken betreffen etwa den Umgang mit Inhalten, die von anderen Domains geladen werden, sowie so genannte DNS-Rebinding-Angriffe. Außerdem hat Adobe die Unterstützung für Javascript-URLs weitgehend deaktiviert. Dies kann dazu führen, dass einige Flash-Dateien nicht mehr wie vorgesehen funktionieren - deren Entwickler werden nacharbeiten müssen.

Das Adobe Security Bulletin APSB08-11 führt die Änderungen am neuen Flash Player auf und gibt Hinweise für Flash-Entwickler. Der Download des Flash Players für Windows ist 1,4 MB groß. Es gibt auch neue Versionen für Mac, Linux und Sun Solaris.

Sie sollten den Flash-Player umgehend aktualisieren, denn es muss davon ausgegangen werden, dass bereits in Kürze Angriffe mit Hilfe der nun bekannten Schwachstellen erfolgen werden.

0 Kommentare zu diesem Artikel
113144