Einloggen auf heise online

    • News
    • heise Developer
    • heise Netze
    • heise Open Source
    • heise Security
    • c't
    • iX
    • Technology Review
    • c't Fotografie
    • Mac & i
    • Make
    • Telepolis
    • heise Autos
    • TechStage
    • tipps+tricks
    • heise Download
    • Preisvergleich
    • Whitepapers
    • Webcasts
    • Stellenmarkt
    • Karriere Netzwerk
    • Gutscheine
    • IT-Markt
    • Tarifrechner
    • Netzwerk-Tools
    • Spielen bei Heise
    • heise shop
    • heise Select
    • Artikel-Archiv
    • Zeitschriften-Abo
    • Veranstaltungen
    • Arbeiten bei Heise
    • Mediadaten
heise Security
sponsored by Logo HOB
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • Events
  • Foren
  • Kontakt
  1. Security
  2. 7-Tage-News
  3. 04/2008
  4. Adobe schließt sieben Lücken im Flash-Player

Adobe schließt sieben Lücken im Flash-Player

Alert! 09.04.2008 10:04 Uhr Daniel Bachfeld
vorlesen

Adobe hat eine aktualisierte Version 9.0.124.0 seines Flash-Players für Windows, Linux, Mac und Solaris veröffentlicht, in der sieben Sicherheitslücken geschlossen sein sollen. Angreifer können durch die Lecks laut Bericht mittels präparierter SWF-Dateien die Kontrolle über den Rechner übernehmen. Dazu genügt der Besuch einer manipulierten Webseite oder das Öffnen einer SWF-Datei mit einer Anwendung die den Flash-Player nutzt. Bei einer der Lücken handelt es sich um die kürzlich im Rahmen des Wettbewerbs "Pwn to Own" entdeckte Schwachstelle, mit der der Teilnehmer Shane Macaulay ein Vista-Notebook gehackt hatte.

Offenbar tritt das Problem auf, wenn der Flash-Player versucht, auf nicht richtig instanziierte ActionScript-Objekte zuzugreifen. Dazu soll es laut Bericht der Zero-Day-Initiative erforderlich sein, das ActionScript-Tag DeclareFunction2 zu manipulieren. Um bei seinem Flash-Hack unter Windows Vista die Datenausführungsverhinderung (DEP) auszutricksen, musste Macaulay einen kleinen Umweg über Java gehen. Offenbar funktioniert Java unter Windows Vista nicht, wenn dafür die DEP aktiviert ist – weshalb sie für Java in der Regel ausgeschaltet ist.

Anzeige

Bei den anderen Lücke handelt es sich im Wesentlichen um Fehler bei der Einhaltung der Domain-Policy, die einen Zugriff auf Inhalte aus anderen Domains verhindern sollen. Im Zuge des Updates ändern sich auch einige Sicherheitseinstellungen des Players, um standardmäßig eine höhere Sicherheit zu bieten. Dies führt laut Adobe allerdings in einigen Fällen dazu, dass SWF-Dateien nicht mehr funktionieren, etwa weil Flash nun javascript-URLs nicht mehr vollständig unterstützt. Nähere Angaben dazu macht der Hersteller in dem Dokument: Understanding Flash Player 9 April 2008 Security Update compatibility.

Anwender sollten sich so schnell wie möglich die neue Version installieren, da damit zu rechnen ist, dass erste Webseite in Kürze die Lücken ausnutzen, um die PCs von Besuchern zu infizieren.

Siehe dazu auch:

  • Flash Player update available to address security vulnerabilities, Fehlerbericht von Adobe
  • Adobe Flash Player DeclareFunction2 Invalid Object Use Vulnerability, Fehlerbericht von ZDI

(dab)

Kommentare lesen (50 Beiträge)
https://heise.de/-197668 Drucken
Mehr zum Thema:
Netze Alert!
Anzeige
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
Anzeige
Alerts! alle Alert-Meldungen

Drupal (CKEditor)

Cisco-Produkte

Oracle Critical Patch Update

Update
Anzeige
  • Arbeitgeber Bewerbungen: Heise Karriere-Netzwerk
  • enterJS: Die volle Bandbreite an JavaScript-Wissen
  • Unter der Lupe: Hardware für den Endgeräteschutz
  • Wie Endgeräteschutz die IT-Sicherheit verbessert
  • Geldanlage: von Mensch und Maschine profitieren
  • DSGVO: Was nach dem 25. Mai noch zu tun ist
  • Special: DSGVO Ratgeber
  • Interessante Jobangebote - IT-Jobtag in Leipzig!
  • 5 IT-Trends, die Sie auf dem Schirm haben sollten
Artikel
Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Vor allem Online-Shops und soziale Netzwerke sollte neben dem Passwort noch einen zweiten Faktor zum Einloggen fordern. Eine Webseite zeigt übersichtlich an, welche Online-Services dieses Anmeldeverfahren bieten.

Lesetipp
Leben vom Verkauf geklauter Passwörter

Leben vom Verkauf geklauter Passwörter

Das Geschäft mit geleakten Login-Daten boomt: Betrüger machen damit innerhalb von wenigen Monaten mehrere 100.000 US-Dollar.

Lesetipp
Malware-Analyse - Do-It-Yourself

Malware-Analyse - Do-It-Yourself

Bauen Sie Ihre eigene Schadsoftware-Analyse-Sandbox, um schnell das Verhalten von unbekannten Dateien zu überprüfen. Dieser Artikel zeigt, wie das mit der kostenlosen Open-Source-Sandbox Cuckoo funktioniert.

Hintergrund
Neueste Forenbeiträge
  1. Häufig werden dann nicht rückgabefähige Zahlungen ausgelöst
    Wenn dann Instant Payment flächendeckend, europaweit eingeführt ist, dann wird das Spiel noch interessanter. Ich frage mich, warum jeder…

    Forum:  Fake-Support per Telefon: Microsoft meldet Zunahme von Betrugsfällen

    hirn hat keinen Avatar
    von hirn; vor 9 Minuten
  2. Re: Vielleicht ist aber auch das Supportende nach 3 Jahre ein Grund dafür...
    Du stehst doch so auf Links:…

    Forum:  Responsible Disclosure? Google veröffentlicht ungepatchte Win-10-Lücke

    23 hat keinen Avatar
    von 23; vor 15 Minuten
  3. Mein Vorgehen
    Die Typen versuchen das bei mir immer wieder. Sobald der Scammer mir die Teamviewer ID gegeben hat, lege ich auf und seprre die Nummer.

    Forum:  Fake-Support per Telefon: Microsoft meldet Zunahme von Betrugsfällen

    Avatar von Janssen
    von Janssen; vor 15 Minuten
nach oben
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
  • Datenschutzhinweis
  • Impressum
  • Kontakt
  • Mediadaten
  • 194460
  • Content Management by InterRed
  • Copyright © 2018 Heise Medien