Skip to content

Der Flash Player gefährdet Ihr Online-Banking!

Am 5. Juni wurde ein außerplanmäßiges Update für den Flash Player veröffentlicht, um eine 0-Day-Schwachstelle zu beheben. Dabei handelte es sich aber "nur" um eine XSS-Schwachstelle, von Adobe als "important" eingestuft. Die betraf wie so oft auch wieder Adobe Reader und Acrobat. Die Programme können einem ja fast leid tun, die habe nicht nur selbst ständig Schwachstellen, sondern müssen zusätzlich auch noch fast alle des Flash Players ausbaden.

XSS wirklich nur "important"?

Normalerweise sind XSS-Schwachstellen nicht besonders gefährlich, obwohl auch darüber z.B. Server kompromittiert werden können. Aber das sind zum Glück unglückliche Ausnahmen. Es gibt aber Situationen, in denen eine XSS-Schwachstelle durchaus kritisch sein kann. Aber kommen wir zurück zur XSS-Schwachstelle im Flash Player. Was für Angriffe ermöglicht die? Das schreibt Adobe:

"This universal cross-site scripting vulnerability (CVE-2011-2107) could be used to take actions on a user's behalf on any website or webmail provider, if the user visits a malicious website."

Also das übliche. Kein Grund zur Sorge also? Frei nach Radio Eriwan: Im Prinzip schon, aber... der Flash Player wird beim Onlinebanking mit ChipTAN verwendet. Und "XSS-Schwachstelle im Onlinebanking" klingt doch gar nicht gut, oder? Ich sehe schon die Euro-Zeichen in den Augen die Cyberkriminellen rotieren, während sie sich die durch solche Schwachstellen evtl. bietenden Gelegenheiten ausmalen. Von den allgemeinen Gefahren durch den Flash Player ganz zu schweigen. Was ist aus dem guten alten Rat der Banken geworden, während des Onlinebankings JavaScript und andere aktive Inhalte auszuschalten? Heutzutage schaltet man mit JavaScript ja auch das Onlinebanking aus.

Angriff schwierig, aber nicht unmöglich

Zum Glück dürfte es ziemlich schwierig sein, über XSS das Onlinebanking zu manipulieren. Ausschließen würde ich es aber nicht. Wenn man in JavaScript einen MP3-Player entwickeln kann, warum sollte man dann keinen Onlinebanking-Trojaner darin entwickeln können? Solange man die Banken-Website immer in einem neuen Fenster durch Eingabe des URL oder den Aufruf eines Bookmarks ansurft, dürfte man vor XSS sicher sein. Aber macht das wirklich jeder? Wer trotz aller Warnungen auf Phishing-Seiten etliche TANs eingibt, folgt auch einem z.B. per E-Mail zugeschickten Link, der ihn dann über eine für einen XSS-Angriff präparierte Seite zum Onlinebanking leitet. Außerdem gibt es natürlich immer noch die Einschränkung, dass die Bank keine persistente XSS-Schwachstelle auf ihrer Website haben darf. Was leider nicht unbedingt der Fall ist.

Notlösung fürs Onlinebanking

Ich habe mich daher jetzt zu einer Notlösung entschieden und den Flash Player auf einem Rechner wieder installiert. Geschickterweise auf dem, der als lokaler Server arbeitet. Warum? Weil ich damit sonst garantiert nicht im Internet surfe. Der Rechner wird dann in Zukunft doch ins Internet dürfen. Auf genau eine Seite - die meiner Bank. Damit dürfte die Gefahr, auf einen Exploit zu stoßen, minimal sein. Hoffe ich zumindest.

Eine Alternative wäre ein sicheres System von einer CD zu booten, z.B. c't Bankix. Aber da müsste dann erst mal der (aus gutem Grund) nicht vorhandene Flash Player installiert werden. Und bei jedem der häufigen Updates für den Flash Player wäre dann wohl eine neue CD fällig, um ganz auf Nummer Sicher zu gehen. Oder gibt es noch irgendwo USB-Sticks mit Schreibschutz-Schalter zu halbwegs vernünftigen Preisen? Die wären eine Alternative, scheinen mir aber einer aussterbenden oder sogar schon ausgestorbenen Spezies anzugehören. Für die wenigen, die es noch gibt, werden jedenfalls meist Preise verlangt, die Museumstücken würdig wären. Der einzige mir bekannte Stick zu halbwegs normalen Preisen ist der TrekStor CS, und der lässt es zumindest beim Schreiben ziemlich gemütlich angehen.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Die Rückkehr des Exploit-Thursday

Vorschau anzeigen
Microsoft veröffentlicht am Dienstag seine Patches, und die Cyberkriminellen am Mittwoch oder Donnerstag die Exploits für die soeben behobenen Schwachstellen - vor einigen Jahren war das fast üblich. Jetzt ist es wohl wieder soweit

Dipl.-Inform. Carsten Eilers am : Ein Text über fast nichts Neues zum Flash Player

Vorschau anzeigen
Adobe hat außer der Reihe ein als kritisch eingestuftes Update für den Flash Player veröffentlicht - wohl weil eine nur als "wichtig" eingestufte XSS-Schwachstelle für gezielte Angriffe ausgenutzt wird. Und wie schon &uu

Dipl.-Inform. Carsten Eilers am : Adobes 0-Day-Schwachstellen des Monats

Vorschau anzeigen
0-Day-Schwachstellen in Adobe Reader, Acrobat und dem Flash Player - die muss ich einfach kommentieren, so eine Vorlage lasse ich mir natürlich nicht entgehen. Werfen wir also einen Blick auf die (mageren) Fakten. Eine 0-Day-Schwachstelle

Dipl.-Inform. Carsten Eilers am : Zwei-Faktor-Authentifizierung mit spezieller Hardware, Teil 1

Vorschau anzeigen
Da die Zwei-Faktor-Authentifizierung mittels SMS als zweiten Faktor im Grunde als gebrochen gelten muss stellt sich die Frage nach möglichen Alternativen. Eine ist der Einsatz spezieller Hardware, auf der sich keine Schadsoftware einschleich