Abo
  • Services:
Anzeige
Millionen von Nutzern hat Adobe ungefragt eine Browsererweiterung installiert - und eine Sicherheitslücke gleich mit dazu.
Millionen von Nutzern hat Adobe ungefragt eine Browsererweiterung installiert - und eine Sicherheitslücke gleich mit dazu. (Bild: Screenshot / Google Play-Store)

Flash und Reader: Adobe liefert XSS-Lücke als Sicherheitsupdate

Millionen von Nutzern hat Adobe ungefragt eine Browsererweiterung installiert - und eine Sicherheitslücke gleich mit dazu.
Millionen von Nutzern hat Adobe ungefragt eine Browsererweiterung installiert - und eine Sicherheitslücke gleich mit dazu. (Bild: Screenshot / Google Play-Store)

Eine Browsererweiterung, die Adobe mit dem aktuellen Sicherheitsupdate für Flash und Adobe Reader ausgeliefert hat, bringt selbst eine Sicherheitslücke mit.

Das jüngste Sicherheitsupdate für das Flash-Plugin und Adobe Reader unter Windows hat ungefragt eine Browsererweiterung für den Chrome-Browser installiert. Das allein sorgte schon für einigen Unmut. Doch offenbar hat Adobe auch bei der Sicherheit der Erweiterung selbst geschlampt: Tavis Ormandy von Googles Project Zero fand nach kurzer Zeit eine Sicherheitslücke in der Erweiterung.

Anzeige

Codeausführung auf fremden Webseiten möglich

Ein Fehler im Javascript-Code der Adobe-Erweiterung führt zu einer sogenannten DOM-Cross-Site-Scripting-Lücke. Solche Lücken in Browsererweiterungen sind oft besonders kritisch, da sie mit höheren Privilegien im Browser-Kontext laufen.

Normalerweise versucht Chrome, den Zugriff auf den Javascript-Code von Browsererweiterungen zu beschränken. Allerdings können Erweiterungen sogenannte Web Accessible Resources definieren. Die Datei mit der Cross-Site-Scripting-Lücke ist als derartige Ressource definiert und kann damit von Webseiten aus aufgerufen werden.

Durch die Lücke ist es für einen Angreifer möglich, von einer unter seiner Kontrolle stehenden Webseite aus Javascript-Code in beliebige andere Webseiten einzuschleusen - eine sogenannte Universal-Cross-Site-Scripting-Lücke (UXSS).

Neben dieser kritischen Lücke weist Ormandy noch auf eine mögliche Race-Condition in einem Teil des Codes hin, der offenbar bisher nicht aktiv genutzt wird. Ormandy schreibt aber, er möchte verhindern, dass hier eine weitere Sicherheitslücke eingeführt werde, falls dieser Code aktiviert werde.

Adobe hat die Lücke in der Browsererweiterung geschlossen. Sie sollte automatisch durch Chrome aktualisiert werden. Empfehlenswert dürfte es aber eher sein, die Erweiterung komplett zu entfernen, falls man sie nicht benötigt. Für die meisten Nutzer dürfte die Erweiterung keinerlei Vorteile bringen. Sie ersetzt den Chrome-eigenen PDF-Reader durch den von Adobe und bietet eine Funktion, um Webseiten in PDF-Dokumente umzuwandeln. Letztere funktioniert allerdings nur, wenn man die kostenpflichtige Version von Adobes Software installiert hat.

Generell sind sowohl das Flash-Plugin als auch der Adobe Reader extrem häufig von Sicherheitslücken betroffen. Die fragwürdige Praxis von Adobe, zusammen mit Sicherheitsupdates ungefragt weitere Software zu installieren, dürfte für viele Nutzer ein weiterer Grund sein, auf diese Produkte lieber zu verzichten.

Flash am besten entfernen

Das Flash-Plugin wird nur noch auf wenigen Seiten im Netz benötigt. Wer darauf verzichten kann, sollte es entfernen. Auf die Anzeige von PDF-Dateien dürften jedoch die wenigsten Nutzer verzichten wollen. Doch sowohl Chrome als auch Firefox liefern inzwischen eigene, interne PDF-Reader mit. Auch als Standalone-Programme gibt es Alternativen zu Adobes PDF-Reader.

Der Autor dankt Sebastian Lekies, Jann Horn und Mario Heiderich, die in einer Twitter-Diskussion wertvolle Hinweise zur Einschätzung der Lücke gegeben haben.

Nachtrag vom 19. Januar 2017, 16:49 Uhr

Ursprünglich hatten wir geschrieben, dass die Lücke nicht trivial ausnutzbar ist. Das hat sich nach einer Rückfrage bei Tavis Ormandy als falsch herausgestellt, da die betroffene Datei als Web Accessible Resource definiert ist. Wir haben den Text entsprechend angepasst.


eye home zur Startseite
ritzmann 21. Jan 2017

Wäre mir noch so sicher ob NoScript auch Scripte von anderen Browser Erweiterungen...

FreiGeistler 20. Jan 2017

Darum empfehle ich auch jedem, den STDU-Viewer und für bearbeitbare PDFs den PDF-XChange...



Anzeige

Stellenmarkt
  1. Bundeskriminalamt, Wiesbaden
  2. Habermaaß GmbH, Bad Rodach
  3. Stadt Regensburg, Regensburg
  4. congatec AG, Deggendorf


Anzeige
Spiele-Angebote
  1. 10,99€
  2. 26,99€
  3. 22,99€

Folgen Sie uns
       


  1. 3D NAND

    Samsung investitiert doppelt so viel in die Halbleitersparte

  2. IT-Sicherheit

    Neue Onlinehilfe für Anfänger

  3. Death Stranding

    Kojima erklärt Nahtodelemente und Zeitregen

  4. ROBOT-Angriff

    19 Jahre alter Angriff auf TLS funktioniert immer noch

  5. Bielefeld

    Stadtwerke beginnen flächendeckendes FTTB-Angebot

  6. Airspeeder

    Alauda plant Hoverbike-Rennen

  7. DisplayHDR 1.0

    Vesa definiert HDR-Standard für Displays

  8. Radeon-Software-Adrenalin-Edition

    Grafikkartenzugriff mit Smartphone-App

  9. Datentransfer in USA

    EU-Datenschützer fordern Nachbesserungen beim Privacy Shield

  10. Ghostscript

    Vertragsverletzung in GPL-Klage wird nicht entschieden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Minecraft Education Edition: Wenn Schüler richtig ranklotzen
Minecraft Education Edition
Wenn Schüler richtig ranklotzen

Fire TV (2017) im Test: Das Streaminggerät, das kaum einer braucht
Fire TV (2017) im Test
Das Streaminggerät, das kaum einer braucht
  1. Firmenstreit Google blockiert Youtube auf Amazons Fire TV
  2. Neuer Fire TV Amazons Streaming-Gerät bietet HDR für 80 Euro
  3. Streaming Update für Fire TV bringt Lupenfunktion

E-Golf im Praxistest: Und lädt und lädt und lädt
E-Golf im Praxistest
Und lädt und lädt und lädt
  1. Mobilfunk Netzqualität in der Bahn weiter nicht ausreichend
  2. Leserfragen beantwortet Fährt der E-Golf auch bei Gewitter?
  3. Microsoft Sonar überprüft kostenlos Webseiten auf Fehler

  1. Das wird total abgefahren....

    mnicklisch | 16:58

  2. Re: Im Prinzip wie der 27UD88-W nur eben größer...

    Joker86 | 16:57

  3. Re: Also falls jemand angezeigt wurde, hat sich...

    Everest | 16:57

  4. Re: versprechen oder vertrag

    fuzzy | 16:55

  5. Juhuu, noch mehr unqualifizierter Quatsch in...

    floewe | 16:55


  1. 17:11

  2. 16:58

  3. 16:37

  4. 16:15

  5. 16:12

  6. 16:01

  7. 15:54

  8. 15:09


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel