Abo
  • Services:
Anzeige
Millionen von Nutzern hat Adobe ungefragt eine Browsererweiterung installiert - und eine Sicherheitslücke gleich mit dazu.
Millionen von Nutzern hat Adobe ungefragt eine Browsererweiterung installiert - und eine Sicherheitslücke gleich mit dazu. (Bild: Screenshot / Google Play-Store)

Flash und Reader: Adobe liefert XSS-Lücke als Sicherheitsupdate

Millionen von Nutzern hat Adobe ungefragt eine Browsererweiterung installiert - und eine Sicherheitslücke gleich mit dazu.
Millionen von Nutzern hat Adobe ungefragt eine Browsererweiterung installiert - und eine Sicherheitslücke gleich mit dazu. (Bild: Screenshot / Google Play-Store)

Eine Browsererweiterung, die Adobe mit dem aktuellen Sicherheitsupdate für Flash und Adobe Reader ausgeliefert hat, bringt selbst eine Sicherheitslücke mit.

Das jüngste Sicherheitsupdate für das Flash-Plugin und Adobe Reader unter Windows hat ungefragt eine Browsererweiterung für den Chrome-Browser installiert. Das allein sorgte schon für einigen Unmut. Doch offenbar hat Adobe auch bei der Sicherheit der Erweiterung selbst geschlampt: Tavis Ormandy von Googles Project Zero fand nach kurzer Zeit eine Sicherheitslücke in der Erweiterung.

Anzeige

Codeausführung auf fremden Webseiten möglich

Ein Fehler im Javascript-Code der Adobe-Erweiterung führt zu einer sogenannten DOM-Cross-Site-Scripting-Lücke. Solche Lücken in Browsererweiterungen sind oft besonders kritisch, da sie mit höheren Privilegien im Browser-Kontext laufen.

Normalerweise versucht Chrome, den Zugriff auf den Javascript-Code von Browsererweiterungen zu beschränken. Allerdings können Erweiterungen sogenannte Web Accessible Resources definieren. Die Datei mit der Cross-Site-Scripting-Lücke ist als derartige Ressource definiert und kann damit von Webseiten aus aufgerufen werden.

Durch die Lücke ist es für einen Angreifer möglich, von einer unter seiner Kontrolle stehenden Webseite aus Javascript-Code in beliebige andere Webseiten einzuschleusen - eine sogenannte Universal-Cross-Site-Scripting-Lücke (UXSS).

Neben dieser kritischen Lücke weist Ormandy noch auf eine mögliche Race-Condition in einem Teil des Codes hin, der offenbar bisher nicht aktiv genutzt wird. Ormandy schreibt aber, er möchte verhindern, dass hier eine weitere Sicherheitslücke eingeführt werde, falls dieser Code aktiviert werde.

Adobe hat die Lücke in der Browsererweiterung geschlossen. Sie sollte automatisch durch Chrome aktualisiert werden. Empfehlenswert dürfte es aber eher sein, die Erweiterung komplett zu entfernen, falls man sie nicht benötigt. Für die meisten Nutzer dürfte die Erweiterung keinerlei Vorteile bringen. Sie ersetzt den Chrome-eigenen PDF-Reader durch den von Adobe und bietet eine Funktion, um Webseiten in PDF-Dokumente umzuwandeln. Letztere funktioniert allerdings nur, wenn man die kostenpflichtige Version von Adobes Software installiert hat.

Generell sind sowohl das Flash-Plugin als auch der Adobe Reader extrem häufig von Sicherheitslücken betroffen. Die fragwürdige Praxis von Adobe, zusammen mit Sicherheitsupdates ungefragt weitere Software zu installieren, dürfte für viele Nutzer ein weiterer Grund sein, auf diese Produkte lieber zu verzichten.

Flash am besten entfernen

Das Flash-Plugin wird nur noch auf wenigen Seiten im Netz benötigt. Wer darauf verzichten kann, sollte es entfernen. Auf die Anzeige von PDF-Dateien dürften jedoch die wenigsten Nutzer verzichten wollen. Doch sowohl Chrome als auch Firefox liefern inzwischen eigene, interne PDF-Reader mit. Auch als Standalone-Programme gibt es Alternativen zu Adobes PDF-Reader.

Der Autor dankt Sebastian Lekies, Jann Horn und Mario Heiderich, die in einer Twitter-Diskussion wertvolle Hinweise zur Einschätzung der Lücke gegeben haben.

Nachtrag vom 19. Januar 2017, 16:49 Uhr

Ursprünglich hatten wir geschrieben, dass die Lücke nicht trivial ausnutzbar ist. Das hat sich nach einer Rückfrage bei Tavis Ormandy als falsch herausgestellt, da die betroffene Datei als Web Accessible Resource definiert ist. Wir haben den Text entsprechend angepasst.


eye home zur Startseite
ritzmann 21. Jan 2017

Wäre mir noch so sicher ob NoScript auch Scripte von anderen Browser Erweiterungen...

FreiGeistler 20. Jan 2017

Darum empfehle ich auch jedem, den STDU-Viewer und für bearbeitbare PDFs den PDF-XChange...



Anzeige

Stellenmarkt
  1. MBtech Group GmbH & Co. KGaA, Ingolstadt
  2. DATAGROUP Business Solutions GmbH, Hamburg, München, Siegburg bei Köln, Ditzingen bei Stuttgart
  3. Scheidt & Bachmann GmbH, Karlsruhe, Stuttgart, Bodensee, München
  4. Robert Bosch GmbH, Abstatt


Anzeige
Hardware-Angebote
  1. ab 649,90€
  2. 1.029,00€ + 5,99€ Versand

Folgen Sie uns
       


  1. ESTA-Programm

    Curl-Entwickler Stenberg darf nicht in die USA fliegen

  2. EU-Kommission

    Google muss in EU 2,42 Milliarden Euro Strafe zahlen

  3. Core i9-7900X im Test

    Intels 10-Kern-Brechstange

  4. Supercomputer und Datencenter

    Lenovo verabschiedet sich vom PC

  5. United Internet

    1&1 nutzt Glasfasernetz von M-net

  6. Tablet-Projekt

    Jolla will Lizenzeinnahmen für Entschädigungen nutzen

  7. Augmented Reality

    Cast AR trotz Valve-Technologietransfer am Ende

  8. Online-Banking

    Zahlungsdienste der Commerzbank ausgefallen

  9. Fritz-Labor-Version

    AVM baut Mesh-WLAN in seine Router und Repeater ein

  10. Smartphone

    Der Verkauf des Oneplus Five beginnt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mesh- und Bridge-Systeme in der Praxis: Mehr WLAN-Access-Points, mehr Spaß
Mesh- und Bridge-Systeme in der Praxis
Mehr WLAN-Access-Points, mehr Spaß
  1. Eero 2.0 Neues Mesh-WLAN-System kann sich auch per Kabel vernetzen
  2. BVG Fast alle Berliner U-Bahnhöfe haben offenes WLAN
  3. Broadcom-Sicherheitslücke Vom WLAN-Chip das Smartphone übernehmen

Neues iPad Pro im Test: Von der Hardware her ein Laptop
Neues iPad Pro im Test
Von der Hardware her ein Laptop
  1. iFixit iPad Pro 10,5 Zoll intern ein geschrumpftes 12,9 Zoll Modell
  2. Office kostenpflichtig Das iPad Pro 10,5 Zoll ist Microsoft zu groß
  3. Hintergrundbeleuchtung Logitech bringt Hülle mit abnehmbarer Tastatur für iPad Pro

Oneplus Five im Test: Der Oneplus-Nimbus verblasst - ein bisschen
Oneplus Five im Test
Der Oneplus-Nimbus verblasst - ein bisschen

  1. Lächerliche Peanuts

    dabbes | 12:24

  2. Re: Bietet mal Thinkpads ohne OS an

    Evron | 12:24

  3. Re: Thinkpads sind meiner Meinung nach die...

    FreiGeistler | 12:24

  4. Re: Wie Nintendo seine Switch ignoriert...

    F4yt | 12:21

  5. Re: müssten sich diese Kenntnisse "unmittelbar...

    TWfromSWD | 12:20


  1. 12:39

  2. 12:21

  3. 12:08

  4. 11:34

  5. 11:30

  6. 11:12

  7. 10:59

  8. 10:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel