16.10.2008 16:32
Alert! Kritische Sicherheitslücken in Adobe Flash 9
Adobe warnt vor teils gefährlichen Sicherheitslücken im Flash Player 9. Laut einem Hersteller-Advisory betreffen die Programmierfehler alle Flash-Versionen bis einschließlich 9.0.124.0. Besonders kritisch dürfte eine Lücke in der FileReference-API sein, die sich zum Einschleusen von beliebigem Schadcode eignen soll, der mit den Rechten des Anwenders ausgeführt wird.
Außerdem hat Adobe ein ClickJacking-Problem behoben, mit dem sich Anwenderklicks im Browser umleiten lassen, sowie das Handling von Cross-Domain-Policy-Dateien abgesichert, um eine mögliche Rechteausweitung bei Web-Anwendungen zu verhindern. Bei der vierten geschlossenen Sicherheitslücke handelt es sich um ein nicht näher beschriebenes "Port-Scanning-Problem".
Alle Schwachstellen lassen sich mit Hilfe manipulierter SWF-Dokumente übers Netz ausnutzen. Ein Angreifer muss den Nutzer dazu lediglich auf eine Webseite mit schädlichen Flash-Objekten locken. Dabei ist man keinesfalls sicher, wenn man ausschließlich auf vertrauenswürdigen Websites unterwegs ist: Auch manipulierte Werbebanner können Schadcode enthalten. Adobe empfiehlt allen Anwendern, die aktuelle Flash-Version 10.0.12.36 einzuspielen.
Siehe dazu auch:
- Flash Player update available to address security vulnerabilities, Adobe-Advisory zu den Schwachstellen
- Flash Player 10 verfügbar auf heise online
- Adobe Flash Player im heise Software-Verzeichnis
(cr)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
