Aktuelle 0-Day-Schwachstelle im Flash Player behoben
Adobe hat die aktuelle 0-Day-Schwachstelle im Flash Player behoben. Nach der Installation des Updates können Sie den Flash-Player wieder aktivieren, wenn es denn unbedingt sein muss. Sicherer sind Sie aber ohne ihn, da er dieses Jahr bei den Cyberkriminellen ganz besonders beliebt zu sein scheint. Der nächste 0-Day-Exploit dürfte nicht lange auf sich warten lassen.
Updates in zwei Schritten veröffentlicht
Bereits am 4. Februar hat Adobe begonnen, das Update über die Auto-Update-Funktion zu verteilen. Am 5. Februar wurden dann auch die Download-Versionen und ein Security Bulletin dazu veröffentlicht.
Außer der aktuellen 0-Day-Schwachstelle werden von der aktuellen Version eine ganze Reihe weiterer Schwachstellen behoben. Von denen die meisten ebenfalls die Ausführung von Code erlauben. Aber das ist beim Flash Player ja fast üblich.
Analysen des Exploits
Analysen des Exploits wurden von Trend Micros TrendLabs und den TrustWave Spiderlabs veröffentlicht. Es handelt sich um eine Use-after-Free-Schwachstelle im "Fast Memory Access"-Feature (dass den direkten Zugriff auf den Prozess-Speicher mit Hilfe von ActionScript erlaubt) von FlashCC (früher als Flash Alchemy bekannt und zuständig für die Unterstützung von C/C++-Anwendungen in Flash), wenn es von Flash Workers (Flash Implementierung von Hintergrund-Threads) verwendet wird.
Der Zugriff auf den Speicher erfolgt über ein ByteArray, bei dessen Freigabe durch einen anderen Thread im eigentlich zuständigen Thread ein Pointer zu diesem freigegebenen Speicher zurückbleibt. Darüber kann der Angreifer auf diesen Speicher zugreifen und eingeschleusten Code ausführen, was allgemein als "User-after-Free" bekannt ist.
Zwei Exploit-Kits verbreiten die Flash-Exploits
Verantwortlich für die Verbreitung des Exploits ist das Exploit-Kit "HanJuan", über das wenig bekannt ist. Der Exploit ähnelt stark dem vorherigen 0-Day-Exploit im Flash Player, der zuerst im Angler Explot-Kit gefunden wurde (und inzwischen in viele weitere Exploit-Kits aufgenommen wurde), und auch URL-Charakteristiken und mehr ähneln dem Angler Exploit-Kit. Vermutlich stecken also die gleichen Hintermänner hinter Angler- und HanJuan-Exploit-Kit, oder diese arbeiten zumindest zusammen.
Die ersten Angriffe konnten durch die Auswertung von Telemetriedaten auf den 3. Dezember 2014 datiert werden.
Weitere betroffene Websites bekannt
Nach DailyMotion wurden weitere Websites bekannt, die mit den
bösartigen Werbeanzeigen präpariert wurden: Der Exploit wurde
unter anderem auch über Wowhead, Answers.com und Engage:BDR
verbreitet,
außerdem
auf den Websites
theblaze.com, nydailynews.com,
tagged.com, webmail.earthlink.net,
mail.twc.com und my.juno.com.
Die präparierten Anzeigen werden teilweise gezielt über Ad Bidding Networks verbreitet.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Neuer 0-Day-Exploit im Umlauf - Der Flash Player gefährdet (mal wieder) Ihre Sicherheit!
Vorschau anzeigen