Menü
Security

Exploit für neue Flash-Lücke verbreitet sich schnell

vorlesen Drucken Kommentare lesen 151 Beiträge

Nach Angaben mehrerer Antivirenhersteller verbreitet sich ein Exploit zum Ausnutzen der am Wochenende gemeldeten, ungepatchten Lücke in Adobes Flash Player und dem Reader immer schneller. Erste Webseiten nutzen den Exploit bereits für Angriffe aus. Die Schwachstelle betrifft den Flash Player 10.0.45.2 und frühere Versionen sowie die zusammen mit dem Reader und Acrobat 9.x ausgelieferten Bibliothek authplay.dll.

Der Exploit beruht mehreren unabhängigen Analysen zufolge auf einer in ActionScript geschriebenen Flash-Demo zur Implementierung des Verschlüsselungsalgorithmus AES. Im Exploit wurde nur eine einzige Zeile (getproperty gegen newfunction) ersetzt, die allerdings den ActionScript-Stack durcheinander bringt. Dadurch lässt sich offenbar zusätzlicher (x86-)Code über den Just-In-Time-Compiler des Flash Player in den Speicher des PCs schreiben und starten. Eine detaillierte Analyse des Exploits gibt es hier: A brief analysis of a malicious PDF file which exploits this week’s Flash 0-day

Manipulierte Webseiten versuchen über den Exploit Programme zu starten, die weitere Schädlinge aus dem Netz nachladen, darunter Backdoors und Trojaner. Adobe hat für den heutigen Donnerstag, den 10. Juni, ein Update für den Flash Player angekündigt. Das Update für den Adobe Reader und Acrobat soll am 29. Juni erscheinen, also zwei Wochen vor dem regulären, alle drei Monate stattfindenden Termin.

Bis zum Update empfiehlt Adobe Nutzern von Reader und Acrobat 9, die Datei authplay.dll zu löschen, umzubenennen oder zu verschieben. Allerdings führt das laut Hersteller zu einem Programmabsturz beim Öffnen einer PDF-Datei mit Flash-Inhalten. Unter Windows liegt die Datei typischerweise in C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll beziehungsweise C:\Program Files\Adobe\Acrobat 9.0\Acrobat\authplay.dll.

Nach Meinung des US-CERT laufen Angriffe auch dann ins Leere, wenn man JavaScript im Reader deaktiviert und unter Windows die Datenausführungsverhinderung aktiviert.

Siehe dazu auch:

(dab)