heise online › News › 2008 › KW 42 › Kritische Sicherheitslücken in Adobe Flash 9
16.10.2008 16:32
Kritische Sicherheitslücken in Adobe Flash 9
Adobe warnt vor teils gefährlichen Sicherheitslücken im Flash Player 9. Laut einem Hersteller-Advisory betreffen die Programmierfehler alle Flash-Versionen bis einschließlich 9.0.124.0. Besonders kritisch dürfte eine Lücke in der FileReference-API sein, die sich zum Einschleusen von beliebigem Schadcode eignen soll, der mit den Rechten des Anwenders ausgeführt wird.
Außerdem hat Adobe ein ClickJacking-Problem behoben, mit dem sich Anwenderklicks im Browser umleiten lassen, sowie das Handling von Cross-Domain-Policy-Dateien abgesichert, um eine mögliche Rechteausweitung bei Web-Anwendungen zu verhindern. Bei der vierten geschlossenen Sicherheitslücke handelt es sich um ein nicht näher beschriebenes "Port-Scanning-Problem".
Alle Schwachstellen lassen sich mit Hilfe manipulierter SWF-Dokumente übers Netz ausnutzen. Ein Angreifer muss den Nutzer dazu lediglich auf eine Webseite mit schädlichen Flash-Objekten locken. Dabei ist man keinesfalls sicher, wenn man ausschließlich auf vertrauenswürdigen Websites unterwegs ist: Auch manipulierte Werbebanner können Schadcode enthalten. Adobe empfiehlt allen Anwendern, die aktuelle Flash-Version 10.0.12.36 einzuspielen.
Siehe dazu auch:
- Flash Player update available to address security vulnerabilities, Adobe-Advisory zu den Schwachstellen
- Flash Player 10 verfügbar auf heise online
- Adobe Flash Player im heise Software-Verzeichnis
(cr/c't)
Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren
Kommentare lesen (60 Beiträge)
Themen-Forum Desktopsicherheit
English version: Critical security holes in Adobe Flash Player 9
heise Security
Programmieren von Exploits
Sieben Tutorials zeigen alles, was man wissen muss, um zuverlässige Exploits für Buffer Overflows in Software zu schreiben
mehr...
TLS-Renegotiation-Schwachstelle erklärt
Anhand einfacher Grafiken zeigt Thierry Zoller, wie sich die TLS-Renegotiation-Schwachstelle ausnutzen lässt.
mehr...
Security Operations von Innen
Im Security Operations Center (SOC) überwacht Symantec aus der Ferne die Netzwerke seiner Kunden auf Hackerangriffe und verdächtige Aktivitäten. Wir haben uns das SOC von innen angeschaut.
mehr...
Alerts
News
Sicherheitslücken in Add-ons gefährden Firefox-Anwender
ENISA-Studie hilft bei Risikoabschätzung für Cloud Computing
Fedora rudert bei den Installationsrechten zurück
PHP 5.3.1: Bug-Fixes und Sicherheitskorrekturen
Forderungen nach mehr Videoüberwachung für Sicherheit in Bus und Bahn
ONLINE MARKT
Werbung
Verbundene Unternehmen
Das eBook des Tages!