Offene Sicherheitslücke im Flash-Player wird ausgenutzt (U)
Das Problem ähnelt laut Symantec einem kürzlich beseitigten Pufferüberlauf, tritt aber auf Systemen auf, die entsprechend gepatcht wurden. Noch ist unklar, worin das Problem genau besteht. Es könnte sich sowohl um eine Variante des bereits beseitigten Problems handeln, als auch um nicht korrekt gepatchte Systeme. Adobe(öffnet im neuen Fenster) und Symantec(öffnet im neuen Fenster) untersuchen die Angelegenheit.
Der Schadcode, der derzeit im Umlauf ist, kommt von den gleichen chinesischen Websites, die auch schon Code für die zuvor bekanntgewordene Lücke verteilten: wuqing17173.cn und woai117.cn. Hinzu kommt laut Symantec die neue Domain dota11.cn. In der Flash-Datei findet sich ein Hinweis auf die Domain www.play0nlnie.com, meldet derweil das Internet Storm Center(öffnet im neuen Fenster) .
Symantec erkennt die kompromittierten .swf-Dateien derzeit als "Downloader.Swif.C" und die darüber ausgelieferte Malware als "Infostealer.Gamepass". SecurityFocus führt die Sicherheitslücke unter Adobe Flash Player SWF File Unspecified Remote Code Execution Vulnerability(öffnet im neuen Fenster) .
Abhilfe schafft derzeit eine Deinstallation des Flash-Player oder die Installation von Tools wie Flashblock(öffnet im neuen Fenster) und NoScript(öffnet im neuen Fenster) . Administratoren sollten zudem die genannten Webseiten sperren.
Nachtrag vom 29. Mai 2008, 19 Uhr:
Mittlerweile haben Adobe und Symantec Entwarnung(öffnet im neuen Fenster) gegeben: Der Flash Player ab der Version 9.0.124.0 ist von der Sicherheitslücke nicht betroffen.