Kritische Sicherheitslücken in Adobe Flash 9

Adobe warnt vor teils gefährlichen Sicherheitslücken im Flash Player 9. Laut einem Hersteller-Advisory betreffen die Programmierfehler alle Flash-Versionen bis einschließlich 9.0.124.0. Besonders kritisch dürfte eine Lücke in der FileReference-API sein, die sich zum Einschleusen von beliebigem Schadcode eignen soll, der mit den Rechten des Anwenders ausgeführt wird.

Außerdem hat Adobe ein ClickJacking-Problem behoben, mit dem sich Anwenderklicks im Browser umleiten lassen, sowie das Handling von Cross-Domain-Policy-Dateien abgesichert, um eine mögliche Rechteausweitung bei Web-Anwendungen zu verhindern. Bei der vierten geschlossenen Sicherheitslücke handelt es sich um ein nicht näher beschriebenes "Port-Scanning-Problem".

Alle Schwachstellen lassen sich mit Hilfe manipulierter SWF-Dokumente übers Netz ausnutzen. Ein Angreifer muss den Nutzer dazu lediglich auf eine Webseite mit schädlichen Flash-Objekten locken. Dabei ist man keinesfalls sicher, wenn man ausschließlich auf vertrauenswürdigen Websites unterwegs ist: Auch manipulierte Werbebanner können Schadcode enthalten. Adobe empfiehlt allen Anwendern, die aktuelle Flash-Version 10.0.12.36 einzuspielen.

Siehe dazu auch:

• Flash Player update available to address security vulnerabilities, Adobe-Advisory zu den Schwachstellen
• Flash Player 10 verfügbar auf heise online
• Adobe Flash Player im heise Software-Verzeichnis

(cr/c't)