Skip to content

Der Flash Player - Gefährlich und überflüssig

Geschrieben von Carsten Eilers am um 09:30

Es gibt mal wieder eine 0-Day-Schwachstelle im Flash Player. Der wird mit der Verbreitung von HTML5 immer überflüssiger und verschwindet hoffentlich bald von der Bildfläche. Wie wäre es mit einem Countdown analog zu dem für den Internet Explorer 6, immerhin wird Flash ja nächstes Jahr 15 Jahre alt und hätte den IE6 dann um 5 Jahre überlebt?

0-Day-Schwachstelle in Flash - Angriff über Excel(!)

Adobe musste am 14. März mal wieder eine 0-Day-Schwachstelle im Flash Player eingestehen. Die wird bereits für gezielte Angriffe ausgenutzt. Und wie? Nicht, wie sonst so oft, über präparierte Webseiten, sondern indem den Opfern Excel-Dateien mit entsprechend präparierten Flash-Dateien per Mail zugeschickt werden.

0-Day-Schwachstellen in Adobe-Produkten sind ja fast schon ein Normalzustand, wobei ich zugebe, dass es in den letzten Monaten etwas ruhiger zuging als noch vor einem Jahr. Aber das eine Flash-Schwachstelle über Excel ausgenutzt wird, das hat doch was. Wer ist bloss auf die Idee gekommen, Flash in Excel-Dateien zuzulassen? Wozu soll das denn gut sein? Eine Tabellenkalkulation mit Animationen drin? Welcher Witzbold hat sich das denn gewünscht? Und welcher Scherzkeks hat den Wunsch ernst genommen und genehmigt? Ich wüsste ja wirklich gerne, ob es dafür eine ernsthafte Anwendung gibt. Sachdienliche Hinweise können gerne unten in den Kommentaren eingegeben werden.

Ach ja: Adobe Reader und Acrobat sind ebenfalls von der Flash-Schwachstelle betroffen, weil man in PDF-Dateien ja auch unbedingt Flash braucht. Wozu eigentlich? Und nein, "Rechner kompromittieren" ist keine akzeptable Antwort. Auch wenn sie natürlich richtig ist.

Dem Exploit und dem Entwickler auf der Spur

Microsoft hat sich die Schwachstelle genauer angesehen und im Threat Research & Response Blog des Microsoft Malware Protection Center eine ausführliche Beschreibung und im Security Research & Defense Blog mögliche Gegenmaßnahmen veröffentlicht. Die bestehen, wie so oft, u.a. im Einschalten der DEP (sofern die nicht sowieso aktiviert ist), wozu ggf. das Enhanced Mitigation Experience Toolkit verwendet werden kann. Die aktuellen Exploits werden von drei der damit aktivierbaren Schutzmaßnahmen gestoppt (DEP, Export Address Table Access Filtering (EAF) und HeapSpray Pre-Allocation), so dass das Tool auch die Sicherheit von Microsoft Office 2010 erhöhen kann, bei dem DEP, aber nicht die anderen Schutzmaßnahmen, per Default aktiviert ist.

Einer Analyse des FireEye Malware Intelligence Lab zu Folge lässt sich die verwendete Excel-Datei bis zu einem chinesischen Hacker mit dem Pseudonym 'linxder' zurückverfolgen. Dessen Spezialität: "weaponizing flash containers in other file formats". Das passt doch sehr gut. Und die Kombination von "gezielten Angriffen" und "Made in China" hatten wir ja auch schon öfter.

Updates: Erst Chrome, dann der Rest, später Adobe Reader X

Adobe hat Updates für die Woche ab dem 21. März angekündigt, mit Ausnahme von Adobe Reader X für Windows. Da der aktuelle Exploit darin aufgrund des "Protected Mode" nicht funktioniert und bisher auch nur im Rahmen gezielter Angriffe eingesetzt wurde, soll das Update für Adobe Reader X für Windows erst am nächsten regulären Patchday am 14. Juni erscheinen. Sehe nur ich darin eine klare Herausforderung an alle Cyberkriminellen, einen Exploit für diese Version zu entwickeln?

Nutzer von Googles Chrome sind übrigens gleicher als alle anderen Flash-Nutzer, die bekommen bereits seit dem 15. März ein Update, dass die Schwachstelle im integrierten Flash Player behebt. Allerdings scheint der dafür andere Probleme zu haben, wenn man den Kommentaren Glauben schenken darf.

Flash-Entwickler bitte absteigen, der Gaul ist tot!

Nachdem Flash mal wieder bewiesen hat, wie gefährlich es ist, sollte man wirklich langsam mal darüber nachdenken, diese Altlast des Klicki-Bunti-Webs auf dem Müllhaufen der Geschichte zu entsorgen. Und nicht auch noch durch die Verwendung im Rahmen des Onlinebanking die Benutzer zur Installation des Flash Players zwingen.

Früher galt beim Onlinebanking der gute Ratschlag, JavaScript und aktive Inhalte auszuschalten. Was ist aus dieser schönen Sitte geworden? Ja, ich weiß, wenn man nur einen Hammer hat sieht jedes Problem wie ein Nagel aus und wenn man nur einen Flash-Entwickler hat kommt im Web halt meist Flash raus. Aber das ist doch wirklich kurzsichtig, immerhin hat ja sogar Adobe eingesehen, dass Flash die Vergangenheit ist und HTML5 die Zukunft gehört. Oder warum sonst hat Adobe mit Wallaby einen Converter von Flash nach HTML5 entwickelt? Würde man an Flash glauben, würde der Converter ja wohl in die andere Richtung arbeiten. Vielleicht könnte ja mal ein engagierter Web-Entwickler den Banken etwas unter die Arme greifen und deren Flash-Anwendung in sicheres HTML5 umsetzen?

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Gezielter Angriff auf RSA mit unabsehbaren Folgen

Vorschau anzeigen
Mitte März meldete RSA einen gezielten Angriff, bei dem nicht näher beschriebene Daten ausgespäht wurden. Darunter befanden sich auch Informationen über die SecurID-Token zur Zwei-Faktor-Authentifizierung. Ebenfalls Mitte M&aum

Dipl.-Inform. Carsten Eilers am : Flash Player und 0-Day-Exploit - eine unendliche Geschichte

Vorschau anzeigen
Es gibt (bzw. gab) schon wieder eine 0-Day-Schwachstelle im Flash Player. Im Unterschied zur vorigen 0-Day-Schwachstelle wurde diese schon innerhalb von 5 Tagen geschlossen. Aber immer der Reihe nach... 11.4. - 0-Day-Schwachstelle ver&oum

Dipl.-Inform. Carsten Eilers am : Der Flash Player gefährdet Ihr Online-Banking!

Vorschau anzeigen
Am 5. Juni wurde ein außerplanmäßiges Update für den Flash Player veröffentlicht, um eine 0-Day-Schwachstelle zu beheben. Dabei handelte es sich aber "nur" um eine XSS-Schwachstelle, von Adobe als "important" eingestuft.

Dipl.-Inform. Carsten Eilers am : Die smsTAN ist tot, der SMS-Dieb schon da!

Vorschau anzeigen
Die Banken schaffen die iTAN ab, weil es (zu viele) Kunden gibt, die das Opfer von Man-in-the-Browser-Angriffen werden oder auf Phisher hereinfallen. Möchte jemand wetten, dass genau diese Kunden sich nicht stattdessen genauso einfach einen Sma

Dipl.-Inform. Carsten Eilers am : Ein Text über fast nichts Neues zum Flash Player

Vorschau anzeigen
Adobe hat außer der Reihe ein als kritisch eingestuftes Update für den Flash Player veröffentlicht - wohl weil eine nur als "wichtig" eingestufte XSS-Schwachstelle für gezielte Angriffe ausgenutzt wird. Und wie schon &uu

Dipl.-Inform. Carsten Eilers am : Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!

Vorschau anzeigen
Wiederholungen, nichts als Wiederholungen. Nein, ich meine nicht das TV-Programm im Sommer(loch). Auch die Cyberkriminellen haben in letzter Zeit auf Bewährtes gesetzt: Clickjacking gegen Flash, Massen-SQL-Injection und Code-Recycling sind ang

Dipl.-Inform. Carsten Eilers am : Adobes 0-Day-Schwachstellen des Monats

Vorschau anzeigen
0-Day-Schwachstellen in Adobe Reader, Acrobat und dem Flash Player - die muss ich einfach kommentieren, so eine Vorlage lasse ich mir natürlich nicht entgehen. Werfen wir also einen Blick auf die (mageren) Fakten. Eine 0-Day-Schwachstelle

Dipl.-Inform. Carsten Eilers am : Adobe: Lieber Exploits verteuern statt Schwachstellen beheben

Vorschau anzeigen
Software wird nie völlig fehlerfrei sein. Um so wichtiger ist es, sie so fehlerfrei wie möglich zu machen. Und das bedeutet insbesondere, erkannte Schwachstellen zu beheben und das Entstehen von Schwachstellen möglichst zu verhindern

Dipl.-Inform. Carsten Eilers am : 2013 - Das Jahr der 0-Day-Exploits?

Vorschau anzeigen
Wir haben gerade mal den 11. Februar und schon die x-te 0-Day-Schwachstelle. Wobei man sich über den Wert von x streiten kann. Aber selbst im günstigsten Fall ist der drei: Erst die 0-Day-Schwachstelle in Java und nun zwei im Flash Playe