Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Notfallpatch: Adobe schließt bereits ausgenutzte gefährliche XSS-Lücke

Ein Zeroday-Exploit hat Adobe zum Handeln gezwungen – kurzerhand wurden Updates für Windows, Mac OS, Linux, Solaris und Android veröffentlicht. Sie schließen eine Cross-Site-Scripting-Schwachstelle, die zum Stehlen von Zugangsdaten genutzt werden kann.
/ Andreas Sebayang
Kommentare News folgen (öffnet im neuen Fenster)
Ein Update soll eine kritische Sicherheitslücke in Adobes Flash Player schließen. (Bild: Adobe)
Ein Update soll eine kritische Sicherheitslücke in Adobes Flash Player schließen. Bild: Adobe

Adobe muss den Flashplayer außerhalb der Quartalsupdates mit einem Sicherheitspatch versorgen. Den Notfallpatch hat Adobe gestern erst angekündigt . Schnelles Handeln war nötig, da eine der Sicherheitslücken bereits für gezielte Angriffe ausgenutzt wird. Anwender werden mit E-Mails auf eine Webseite gelockt, die einen Programmfehler im Flash Player für offenbar kriminelle Zwecke missbraucht. Dazu wird eine Cross-Site-Scripting-Sicherheitslücke verwendet (CVE-ID 2011-2444). Die Sicherheitslücke wurde von Google an Adobe gemeldet. Laut Securityfocus(öffnet im neuen Fenster) ist es möglich, über die Schwachstelle Cookie-basierte Zugangsdaten zu stehlen, um weitere Angriffe zu starten.

Weitere Schwachstellen, die jedoch nicht ausgenutzt werden, ermöglichen es einem Angreifer, den Flashplayer zum Absturz zu bringen und sogar die Kontrolle über das System zu übernehmen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT Business Partner (d/w/m) Industrie- und Handelsunion Dr. Wolfgang Boettger GmbH & Co. KG, Berlin,Homeoffice (öffnet im neuen Fenster)
Business Performance Analyst (w/m/d) BCA Autoauktionen GmbH, Neuss (öffnet im neuen Fenster)
IT Servicetechniker - 1st & 2nd Level Support (w/m/d) Bechtle GmbH, Hamburg (öffnet im neuen Fenster)
IT Program Coordinator (m/w/d) - Digitalisierung & Projektsteuerung in Rostock | AIDA Cruises AIDA Cruises - German Branch of Costa Crociere S.p.A., Rostock (öffnet im neuen Fenster)
Consultant Energiewirtschaft Datenqualität MaKo (m/w/d) Schwarz Corporate Solutions, Neckarsulm (öffnet im neuen Fenster)
IT Administrator*in (m/w/d) IBC Holding GmbH, Mainz (öffnet im neuen Fenster)
Sachbearbeiter/in und stellvertretende/r Sachgebietsleiter/in (w/m/d) Stadt Nürnberg, Nürnberg (öffnet im neuen Fenster)
Promotion im Bereich KI-Methoden für den CMOS-Schaltungsentwurf Fraunhofer-Institut für Angewandte Festkörperphysik IAF, Heilbronn (öffnet im neuen Fenster)

Adobe Reader hat vermutlich auch Lücken

Im Security Bulletin nennt Adobe Details und Downloadmöglichkeiten(öffnet im neuen Fenster) zu den insgesamt sechs gemeldeten Lücken. Laut Adobe wird nur eine der Lücken aktiv ausgenutzt. Um Adobe-Reader- und -Acrobat-Nutzer zu beruhigen, schreibt der Softwareentwickler, dass diese Programme nicht von der Sicherheitslücke 2011-2444 in der Flashkomponente authplay.dll betroffen seien. Zu den anderen CVE-IDs äußert sich Adobe jedoch nicht.

Es ist wohl zu befürchten, dass damit auch Sicherheitslücken in den PDF-Programmen existieren. Patches gibt es für die weit verbreiteten Programme in den Versionen 9 und 10 aber nicht. Adobes PDF-Programme der Version 8 können prinzipbedingt nicht von Flash-Sicherheitslücken betroffen sein. Allerdings wird der Support vom Adobe Reader und Acrobat 8 im November 2011 eingestellt .

Der nächste Quartalspatchday für Adobes PDF-Software ist Mitte Dezember 2011.

Zur Startseite Kommentare

Relevante Themen

SoftwareSecuritySicherheitslückeUpdates & PatchesDatensicherheitFlashAdobeApplikationen