XSS-Lücke
Sicherheits-Update für Flash Player
Adobe hat neue Versionen seines Flash Player bereit gestellt. Diese sollen eine Schwachstelle beheben, die bereits bei gezielten Angriffen ausgenutzt wird. Auch für den Browser Chrome ist ein Update verfügbar.
Das Browser-Plugin Flash Player weist in den bisherigen Versionen bis einschließlich 10.3.181.16 für Windows, Mac und Unix (Android: bis Version 10.3.185.22) steckt eine Sicherheitslücke, die sich für XSS-Angriffe ausnutzen lässt. Adobe hat daher am gestrigen Sonntag neue Versionen des Flash Player bereit gestellt, in denen der Fehler behoben ist.
Adobe gibt in seiner Sicherheitsmitteilung APSB11-13 an, bei der der Schwachstelle handele es sich um eine XSS-Lücke (Cross-site Scripting), die bereits für gezielte Angriffe im Web ausgenutzt würde. Ein Flash-Objekt, das in eine vorbereitete Web-Seite eingebettet sei, könne dort Aktion im Namen des Besuchers auslösen. Die Angriffe erfolgten, so Adobe, mit Mails, die einen Link zu einer solchen Web-Seite enthielten.
Zu den denkbaren Folgen lässt sich Adobe nicht aus. Möglich wäre etwa das Auslesen von persönlichen Informationen, zum Beispiel Zugangsdaten oder Mails, falls das Opfer eine solche Mail per Web-Mail öffnet.
Im Flash Player 10.3.181.23 für den Internet Explorer (ActiveX) sowie 10.3.181.22 für Firefox und andere Browser ist diese Schwachstelle beseitigt. Google hat für seinen Web-Browser Chrome mit integriertem Flash Player ein Update auf die Chrome-Version 11.0.696.77 veröffentlicht. Für Android will Adobe im Laufe dieser Woche eine korrigierte Version bereit stellen.
Ob der in Adobe Reader und Acrobat enthaltene Flash Player (authplay.dll unter Windows) ebenfalls aktualisiert werden muss, untersucht Adobe derzeit noch. Angriffe mit entsprechend präparierten PDF-Dateien sind nach Angaben des Software-Herstellers bislang nicht bekannt.
