Original-URL des Artikels: https://www.golem.de/1109/86596.html    Veröffentlicht: 22.09.2011 10:38    Kurz-URL: https://glm.io/86596

Notfallpatch

Adobe schließt bereits ausgenutzte gefährliche XSS-Lücke

Ein Zeroday-Exploit hat Adobe zum Handeln gezwungen - kurzerhand wurden Updates für Windows, Mac OS, Linux, Solaris und Android veröffentlicht. Sie schließen eine Cross-Site-Scripting-Schwachstelle, die zum Stehlen von Zugangsdaten genutzt werden kann.

Adobe muss den Flashplayer außerhalb der Quartalsupdates mit einem Sicherheitspatch versorgen. Den Notfallpatch hat Adobe gestern erst angekündigt. Schnelles Handeln war nötig, da eine der Sicherheitslücken bereits für gezielte Angriffe ausgenutzt wird. Anwender werden mit E-Mails auf eine Webseite gelockt, die einen Programmfehler im Flash Player für offenbar kriminelle Zwecke missbraucht. Dazu wird eine Cross-Site-Scripting-Sicherheitslücke verwendet (CVE-ID 2011-2444). Die Sicherheitslücke wurde von Google an Adobe gemeldet. Laut Securityfocus ist es möglich, über die Schwachstelle Cookie-basierte Zugangsdaten zu stehlen, um weitere Angriffe zu starten.

Weitere Schwachstellen, die jedoch nicht ausgenutzt werden, ermöglichen es einem Angreifer, den Flashplayer zum Absturz zu bringen und sogar die Kontrolle über das System zu übernehmen.

Adobe Reader hat vermutlich auch Lücken

Im Security Bulletin nennt Adobe Details und Downloadmöglichkeiten zu den insgesamt sechs gemeldeten Lücken. Laut Adobe wird nur eine der Lücken aktiv ausgenutzt. Um Adobe-Reader- und -Acrobat-Nutzer zu beruhigen, schreibt der Softwareentwickler, dass diese Programme nicht von der Sicherheitslücke 2011-2444 in der Flashkomponente authplay.dll betroffen seien. Zu den anderen CVE-IDs äußert sich Adobe jedoch nicht.

Es ist wohl zu befürchten, dass damit auch Sicherheitslücken in den PDF-Programmen existieren. Patches gibt es für die weit verbreiteten Programme in den Versionen 9 und 10 aber nicht. Adobes PDF-Programme der Version 8 können prinzipbedingt nicht von Flash-Sicherheitslücken betroffen sein. Allerdings wird der Support vom Adobe Reader und Acrobat 8 im November 2011 eingestellt.

Der nächste Quartalspatchday für Adobes PDF-Software ist Mitte Dezember 2011.  (ase)


Verwandte Artikel:
Sicherheitslücke: Adobe aktualisiert Flash-Player zum Patchday   
(12.07.2017, https://glm.io/128868 )
Adobe: Sicherheitsupdate soll XSS-Lücke im Flash Player beheben   
(21.09.2011, https://glm.io/86579 )
Adobe: Flash Player 10.3 für Desktop und Android ist fertig   
(13.05.2011, https://glm.io/83457 )
Adobe Flash Player: Notfallpatch gegen Zero-Day-Exploit   
(06.06.2011, https://glm.io/83980 )
Drive-by-Cache: Amnesty International verteilte Zero-Day-Flashexploit   
(20.04.2011, https://glm.io/82948 )

© 1997–2019 Golem.de, https://www.golem.de/