Adobe behebt Flash-Bugs, Angreifer zielen auf Firefox-Benutzer ab

Adobe hat drei neue Sicherheitslücken in seinem nahezu allgegenwärtigen Flash Player behoben, von denen zwei bereits in der Natur ausgenutzt wurden. Angreifer waren speziell auf Mozilla Firefox-Benutzer ausgerichtet, teilte das Unternehmen mit.

Die beiden Zero-Day-Sicherheitslücken CVE 2013-0643 und CVE 2013-0648 wurden bei gezielten Angriffen ausgenutzt, bei denen Benutzer dazu verleitet wurden, auf einen Link zu einer Website zu klicken, auf der schädliche Flash-Dateien gehostet werden. Das Unternehmen hat keiner Organisation oder einem Forscher die Zero-Day-Sicherheitslücke zugeschrieben, sondern IBM X-force für die Meldung der dritten Sicherheitslücke zugeschrieben.

Die Sicherheitsingenieure von Adobe auf der RSA-Konferenz lehnten es ebenfalls ab, zusätzliche Informationen bereitzustellen.

"Der Exploit für Cve 2013-0643 und CVE 2013-0648 zielt auf den Firefox-Browser ab", sagte Adobe im Advisory.

Angreifer könnten die Sicherheitsanfälligkeiten auslösen, die zum Absturz von Flash Player führen und die Remotesteuerung des Computers ermöglichen, so Adobe. Die Zero-Day-Bugs beziehen sich auf ein Berechtigungsproblem mit der Firefox-Sandbox von Flash Player und auf einen Fehler in der ActionScript-Funktion ExternalInterface, der zum Ausführen von schädlichem Code ausgenutzt werden kann. Der dritte Fehler, der derzeit noch nicht ausgenutzt wird, war eine Pufferüberlauf-Sicherheitsanfälligkeit in einem Flash Player-Broker-Dienst und könnte zur Ausführung von Schadcode verwendet werden, so Adobe.

Das Update betrifft alle Versionen von Flash unter Windows, Mac OS X und Linux. Benutzer können die neueste Version von der Adobe-Website herunterladen oder Hintergrundaktualisierungen aktivieren und die Software die Version automatisch abrufen lassen. Google und Microsoft aktualisieren Flash in Chrome und Internet Explorer 10 (für Windows 8) separat.

Dieses Flash-Update ist der zweite Out-of-Band-Patch für Flash Player in diesem Monat, der dritte Adobe-Patch im Februar und der vierte derartige Patch, der 2013 veröffentlicht wurde.

Es ist fast ein Jahr her, dass Adobe automatische Updates für Flash und Reader aktiviert hat, und die Update-Rate war enorm, sagte Brad Arkin, Senior Director für Sicherheit und Datenschutz bei Adobe, gegenüber SecurityWatch auf der RSA-Konferenz. Das vorherige Modell, in dem Benutzer aufgefordert wurden, die neuesten Updates herunterzuladen, reichte nicht aus, um Benutzer zum tatsächlichen Patchen von Flash Player zu bewegen, so Arkin. Mit der Umstellung auf Hintergrundaktualisierungen war die Erfolgsquote signifikant.

Um alle Beiträge aus unserer RSA-Berichterstattung anzuzeigen, besuchen Sie unsere Seite Berichte anzeigen.