Nachrichten

Flash Player - wann ist endlich Schluss?

Internet | HT4U.net
Kaum ist das eine Loch gestopft, kommt das nächste wieder hoch. Adobe kommt aus dem Patchen des Flash Players irgendwie nicht mehr heraus. Erst vor wenigen Tagen gab es ein wichtiges Update für eine kritische Lücke – es folgt die nächste kritische Lücke, aber noch keine Abhilfe.

Vor einer Woche wurde die Mailänder Firma "Hacking Team" gehackt, wobei mehr als 400 GByte brisante Daten entwendet worden sind. Obwohl diese Daten nach Angaben des Unternehmens "gefälscht" sind und nur "Lügen und Viren" enthalten, fanden Sicherheitsexperten darunter mehrere unbekannte Angriffe auf Adobes Flash Player. Eine Schwachstelle wurde schon in der vergangenen Woche gestopft, Updates für zwei weitere sollen in Kürze folgen.

"Hacking Team" entwickelt hochspezialisierte Software zur Übernahme und Überwachung fremder Computer und Netzwerke, welche die Firma an Regierungen, Geheimdienste und Polizeibehörden in aller Welt verkauft. Als Einfallstor dient den Italienern auch Adobes Flash Player, beispielsweise über eine UAF-Schwachstelle (Use After Free) in ByteArray-Objekten. Diesen Fehler (CVE-2015-5119) beschreibt "Hacking Team" in seinen Unterlagen als "the most beautiful Flash bug for the last four years", also als "den schönsten Flash-Fehler der vergangenen vier Jahre".

Während Adobe die obige Schwachstelle in den Versionen 18.0.0.203, 13.0.0.302 und 11.2.202.481 behoben hat, warten die Sicherheitslücken CVE-2015-5122 und CVE-2015-5123 noch auf eine Lösung. Beide Fehler sind kritischer Natur und ermöglichen die Übernahme des angegriffenen Systems. Wie beim CVE-2015-5119 handelt es sich um UAF-Schwachstellen, in deren Verlauf mit valueOf getrickst wird. CVE-2015-5122 wurde von FireEye gemeldet und nutzt die Eigenschaft opaqueBackground in DisplayObject, während TrendMicro vor CVE-2015-5123 warnt und die Eigenschaft paletteMap im BitmapData-Objekt als Angriffspunkt ausmachen konnte.

Zur Stunde kann Adobe noch keine neuen Updates bieten, will diese aber im Laufe der Woche nachreichen. Einmal mehr sollten sich Benutzer die Frage stellen, ob sie den Flash Player überhaupt noch brauchen. Die meisten Internetseiten funktionieren mittlerweile auch ohne diese Erweiterung. Einzig die Betreiber von Webseiten dürften damit vor Problemen stehen, da eben die meiste Werbung von Firmen noch immer über den Flash Player ausgeliefert wird. Aber ganz im Ernst: Irgendwann muss auch mal Schluss sein.

Autor: mid
[]







Stichworte zur Meldung: Keine Noch Erneut Player Flash Adobe