Flash Player: Angreifer können lokale Daten auslesen

Die Sandbox von Adobes Flash-Player lässt sich umgehen, so dass Anwender lokale Dateien auf Clients auslesen und an ihre eigenen Server senden können, hat der Sicherheitsexperte Billy Rios herausgefunden.

6. Januar 2011 um 10:57 Uhr / Jens Ihlenfeld

35 Kommentare News folgen (öffnet im neuen Fenster)

Die sogenannte "local-with-filesystem sandbox" von Flash Player soll es Flash-Applikationen ermöglichen, auf lokale Dateien zuzugreifen, aber zugleich verhindern, dass diese Daten an Server übertragen werden können. Doch der Mechanismus lässt sich leicht umgehen, wie der Sicherheitsexperte Billy Rios herausgefunden hat(öffnet im neuen Fenster) .

Laut Murray lassen sich Zugriffe, die eigentlich nur lokal funktionieren sollten, doch auf externe Server lenken und so Daten an diese übermitteln. Er kritisiert, dass Adobe auf eine Blacklist mit Protokoll-Handlern setzt, und zeigt auf, dass diese lückenhaft ist.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Systemadministratorin bzw. IT-Systemadministrator (w/m/d) Clientinfrastruktur und -management Bundeskartellamt, Bonn (öffnet im neuen Fenster)

Hardwaretechniker / IT-Systemelektroniker (m/w/d) – Computer- & Servermontage sowie Reparatur Systerra Computer GmbH, Wiesbaden (öffnet im neuen Fenster)

Teamleitung IT Infrastruktur und Security (m/w/d) SOLCOM GmbH, Reutlingen (öffnet im neuen Fenster)

Applikationsmanager (m/w/d) mit Schwerpunkt CRM / ERP / DMS PROSOZ Herten GmbH, Herten (Ruhrgebiet),Herten (öffnet im neuen Fenster)

Business Application Consultant Inhouse (m/w/d) ALLIED VISION TECHNOLOGIES GMBH, Stadtroda (öffnet im neuen Fenster)

IT Administrator Linux (m/w/d) dbh Logistics IT AG, Bremen (öffnet im neuen Fenster)

(Senior) Cloud Admin (m/w/d) DOMUS Software AG, Berlin (öffnet im neuen Fenster)

Projektmitarbeiter*in (m/w/d) bei LAND L(i)EBEN im Bereich Vergabe Kreisverwaltung Kusel, Kusel (öffnet im neuen Fenster)

Als Beispiel führt er den Protokoll-Handler "mhtml" an, der von Windows 7 standardmäßig unterstützt wird. Da dieser in der Blacklist fehlt, würden entsprechende Aufrufe nicht durch den Flash-Player angefangen, so dass sich Daten aus der Sandbox an einen Server übertragen lassen.

Zur Startseite 35 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Flash Player: Patch schließt insgesamt 18 Sicherheitslücken

Adobe hat das angekündigte Sicherheitsupdate für den Flash Player zum Teil vorgezogen. Updates für Windows, Mac OS X und Linux beseitigen 18 Sicherheitslücken im Flash Player. 15 Sicherheitslecks können zur Ausführung von Schadcode missbraucht werden. Ein Update für Android folgt erst nächste Woche.

Sicherheitspatch: Gefährliches Sicherheitsloch auch im alten Flash Player

Adobe hat einen Patch für den Flash Player veröffentlicht, um ein gefährliches Sicherheitsleck zu beseitigen, das bereits aktiv ausgenutzt wird. Der Fehler betrifft nicht nur den aktuellen Flash Player, sondern auch frühere Versionen der Software. Das Sicherheitsleck steckt auch in der Android-Version des Flash Players.

Relevante Themen