Alte Sicherheitslücke macht Flash-Filme immer noch gefährlich

Sicherheitsforscher haben eine Schwachstelle in Adobes Flex-SDK-Compiler gefunden, die zwar bereits 2011 gepatcht wurde, aber immer noch gefährlich ist. CVE-2011-2461 steckt im Adobe Flex SDK 3.x und 4.x. Angreifer können über das fürs Laden von Modulen genutzte System per HTML aus der Ferne Scripts einschleusen. Besuchern der betroffenen Sites können sie so Daten stehlen.

Die Sicherheitslücke wurde auf der Konferenz Troopers 2015 erstmals erläutert und anschließend von Mauro Gentile auf Full Disclosure veröffentlicht.
Anfällige Flex-Anwendungen müssen erneut kompiliert oder gepatcht werden, um den Fehler zu beheben, den Adobe als mittelschwer einstuft.

Der von den Forschern entwickelte Angriff ist möglich, wenn eine Flash-Datei im .SWF-Format mit einem angreifbaren Flex-SDK kompiliert wurde. Angreifer können durch Same Origin Request Forgery Daten stehlen oder im Namen anderer Aktionen auf der Site ausführen. Dazu müssen sie sich nur etwa eines vor mindestens vier Jahren kompilierten Flash-Films bedienen und diesen so manipulieren, dass er ihren Schadcode lädt. Den Besucher der Site schützen dann weder ein aktueller Browser noch ein Flash-Plug-in auf dem neusten Stand.

Gentile und seine Kollegen haben auch überprüft, wie groß die potenzielle Gefahr ist. Sie “ermittelten SWFs auf beliebten Websites und analysierten diese Dateien mit einem selbst geschriebenen Werkzeug, um Muster angreifbaren Codes zu entdecken.” Man habe zahlreiche prominente Opfer gefunden, davon drei Sites, die laut Alexa zu den 100 meistbesuchten zählen.

Die Forscher haben das Java-Werkzeug ParrotNG bereit gestellt, mit dem sich untersuchen lässt, ob Flash-Dateien für die Schwachstelle anfällig sind. Sie hoffen, damit das Problem nun endgültig beheben zu können.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de