Der Flash Player - Gefährlich und überflüssig
Es gibt mal wieder eine 0-Day-Schwachstelle im Flash Player. Der wird mit der Verbreitung von HTML5 immer überflüssiger und verschwindet hoffentlich bald von der Bildfläche. Wie wäre es mit einem Countdown analog zu dem für den Internet Explorer 6, immerhin wird Flash ja nächstes Jahr 15 Jahre alt und hätte den IE6 dann um 5 Jahre überlebt?
0-Day-Schwachstelle in Flash - Angriff über Excel(!)
Adobe musste am 14. März mal wieder eine 0-Day-Schwachstelle im Flash Player eingestehen. Die wird bereits für gezielte Angriffe ausgenutzt. Und wie? Nicht, wie sonst so oft, über präparierte Webseiten, sondern indem den Opfern Excel-Dateien mit entsprechend präparierten Flash-Dateien per Mail zugeschickt werden.
0-Day-Schwachstellen in Adobe-Produkten sind ja fast schon ein Normalzustand, wobei ich zugebe, dass es in den letzten Monaten etwas ruhiger zuging als noch vor einem Jahr. Aber das eine Flash-Schwachstelle über Excel ausgenutzt wird, das hat doch was. Wer ist bloss auf die Idee gekommen, Flash in Excel-Dateien zuzulassen? Wozu soll das denn gut sein? Eine Tabellenkalkulation mit Animationen drin? Welcher Witzbold hat sich das denn gewünscht? Und welcher Scherzkeks hat den Wunsch ernst genommen und genehmigt? Ich wüsste ja wirklich gerne, ob es dafür eine ernsthafte Anwendung gibt. Sachdienliche Hinweise können gerne unten in den Kommentaren eingegeben werden.
Ach ja: Adobe Reader und Acrobat sind ebenfalls von der Flash-Schwachstelle betroffen, weil man in PDF-Dateien ja auch unbedingt Flash braucht. Wozu eigentlich? Und nein, "Rechner kompromittieren" ist keine akzeptable Antwort. Auch wenn sie natürlich richtig ist.
Dem Exploit und dem Entwickler auf der Spur
Microsoft hat sich die Schwachstelle genauer angesehen und im Threat Research & Response Blog des Microsoft Malware Protection Center eine ausführliche Beschreibung und im Security Research & Defense Blog mögliche Gegenmaßnahmen veröffentlicht. Die bestehen, wie so oft, u.a. im Einschalten der DEP (sofern die nicht sowieso aktiviert ist), wozu ggf. das Enhanced Mitigation Experience Toolkit verwendet werden kann. Die aktuellen Exploits werden von drei der damit aktivierbaren Schutzmaßnahmen gestoppt (DEP, Export Address Table Access Filtering (EAF) und HeapSpray Pre-Allocation), so dass das Tool auch die Sicherheit von Microsoft Office 2010 erhöhen kann, bei dem DEP, aber nicht die anderen Schutzmaßnahmen, per Default aktiviert ist.
Einer Analyse des FireEye Malware Intelligence Lab zu Folge lässt sich die verwendete Excel-Datei bis zu einem chinesischen Hacker mit dem Pseudonym 'linxder' zurückverfolgen. Dessen Spezialität: "weaponizing flash containers in other file formats". Das passt doch sehr gut. Und die Kombination von "gezielten Angriffen" und "Made in China" hatten wir ja auch schon öfter.
Updates: Erst Chrome, dann der Rest, später Adobe Reader X
Adobe hat Updates für die Woche ab dem 21. März angekündigt, mit Ausnahme von Adobe Reader X für Windows. Da der aktuelle Exploit darin aufgrund des "Protected Mode" nicht funktioniert und bisher auch nur im Rahmen gezielter Angriffe eingesetzt wurde, soll das Update für Adobe Reader X für Windows erst am nächsten regulären Patchday am 14. Juni erscheinen. Sehe nur ich darin eine klare Herausforderung an alle Cyberkriminellen, einen Exploit für diese Version zu entwickeln?
Nutzer von Googles Chrome sind übrigens gleicher als alle anderen Flash-Nutzer, die bekommen bereits seit dem 15. März ein Update, dass die Schwachstelle im integrierten Flash Player behebt. Allerdings scheint der dafür andere Probleme zu haben, wenn man den Kommentaren Glauben schenken darf.
Flash-Entwickler bitte absteigen, der Gaul ist tot!
Nachdem Flash mal wieder bewiesen hat, wie gefährlich es ist, sollte man wirklich langsam mal darüber nachdenken, diese Altlast des Klicki-Bunti-Webs auf dem Müllhaufen der Geschichte zu entsorgen. Und nicht auch noch durch die Verwendung im Rahmen des Onlinebanking die Benutzer zur Installation des Flash Players zwingen.
Früher galt beim Onlinebanking der gute Ratschlag, JavaScript und aktive Inhalte auszuschalten. Was ist aus dieser schönen Sitte geworden? Ja, ich weiß, wenn man nur einen Hammer hat sieht jedes Problem wie ein Nagel aus und wenn man nur einen Flash-Entwickler hat kommt im Web halt meist Flash raus. Aber das ist doch wirklich kurzsichtig, immerhin hat ja sogar Adobe eingesehen, dass Flash die Vergangenheit ist und HTML5 die Zukunft gehört. Oder warum sonst hat Adobe mit Wallaby einen Converter von Flash nach HTML5 entwickelt? Würde man an Flash glauben, würde der Converter ja wohl in die andere Richtung arbeiten. Vielleicht könnte ja mal ein engagierter Web-Entwickler den Banken etwas unter die Arme greifen und deren Flash-Anwendung in sicheres HTML5 umsetzen?
Trackbacks
Dipl.-Inform. Carsten Eilers am : Gezielter Angriff auf RSA mit unabsehbaren Folgen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Flash Player und 0-Day-Exploit - eine unendliche Geschichte
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Der Flash Player gefährdet Ihr Online-Banking!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die smsTAN ist tot, der SMS-Dieb schon da!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ein Text über fast nichts Neues zum Flash Player
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Adobes 0-Day-Schwachstellen des Monats
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Adobe: Lieber Exploits verteuern statt Schwachstellen beheben
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 2013 - Das Jahr der 0-Day-Exploits?
Vorschau anzeigen