Adobe hat eine aktualisierte Version 9.0.124.0 seines Flash-Players für Windows, Linux, Mac und Solaris veröffentlicht, in der sieben Sicherheitslücken geschlossen sein sollen. Angreifer können durch die Lecks laut Bericht mittels präparierter SWF-Dateien die Kontrolle über den Rechner übernehmen. Dazu genügt der Besuch einer manipulierten Webseite oder das Öffnen einer SWF-Datei mit einer Anwendung die den Flash-Player nutzt. Bei einer der Lücken handelt es sich um die kürzlich im Rahmen des Wettbewerbs "Pwn to Own" entdeckte Schwachstelle, mit der der Teilnehmer Shane Macaulay ein Vista-Notebook gehackt hatte.
Offenbar tritt das Problem auf, wenn der Flash-Player versucht, auf nicht richtig instanziierte ActionScript-Objekte zuzugreifen. Dazu soll es laut Bericht der Zero-Day-Initiative erforderlich sein, das ActionScript-Tag DeclareFunction2 zu manipulieren. Um bei seinem Flash-Hack unter Windows Vista die Datenausführungsverhinderung (DEP) auszutricksen, musste Macaulay einen kleinen Umweg über Java gehen. Offenbar funktioniert Java unter Windows Vista nicht, wenn dafür die DEP aktiviert ist – weshalb sie für Java in der Regel ausgeschaltet ist.
Bei den anderen Lücke handelt es sich im Wesentlichen um Fehler bei der Einhaltung der Domain-Policy, die einen Zugriff auf Inhalte aus anderen Domains verhindern sollen. Im Zuge des Updates ändern sich auch einige Sicherheitseinstellungen des Players, um standardmäßig eine höhere Sicherheit zu bieten. Dies führt laut Adobe allerdings in einigen Fällen dazu, dass SWF-Dateien nicht mehr funktionieren, etwa weil Flash nun javascript-URLs nicht mehr vollständig unterstützt. Nähere Angaben dazu macht der Hersteller in dem Dokument: Understanding Flash Player 9 April 2008 Security Update compatibility.
Anwender sollten sich so schnell wie möglich die neue Version installieren, da damit zu rechnen ist, dass erste Webseite in Kürze die Lücken ausnutzen, um die PCs von Besuchern zu infizieren.
Siehe dazu auch:
- Flash Player update available to address security vulnerabilities, Fehlerbericht von Adobe
- Adobe Flash Player DeclareFunction2 Invalid Object Use Vulnerability, Fehlerbericht von ZDI
(dab)