Skip to content

Ein Text über fast nichts Neues zum Flash Player

Adobe hat außer der Reihe ein als kritisch eingestuftes Update für den Flash Player veröffentlicht - wohl weil eine nur als "wichtig" eingestufte XSS-Schwachstelle für gezielte Angriffe ausgenutzt wird. Und wie schon üblich gab es das Update für Google Chrome mit seinem integrierten Flash Player etwas früher.

Das ist (fast) alles nichts Neues...

0-Day-Exploits für den Flash Player sind ebenso "normal" wie außerplanmäßige Updates deswegen. I.A. ging es dabei um Schwachstellen, die die Ausführung beliebigen Codes erlauben und die auch mal über Excel- oder Word-Dateien ausgenutzt wurden. Auch, das XSS-Schwachstellen nur als "wichtig" eingestuft werden ist üblich.

... nur eins ist neu...

Adobe veröffentlicht Updates nur dann außer der Reihe, wenn sie eine Schwachstelle beheben, die bereits für Angriffe ausgenutzt wird. In diesem Fall ist das (angeblich?) die XSS-Schwachstelle. Von den restlichen behobenen Schwachstellen erlauben zwar einige die Ausführung beliebigen Codes, Exploits dafür sind aber bisher nicht bekannt.

Die XSS-Schwachstelle

Über die XSS-Schwachstelle ist fast nichts bekannt. Eine Informationsquelle ist Adobes Security Advisory, aber dort erfährt man nur, dass sie für gezielte Angriffe ausgenutzt wird und von Google entdeckt wurde:

"There are reports that one of these vulnerabilities (CVE-2011-2444) is being exploited in the wild in active targeted attacks designed to trick the user into clicking on a malicious link delivered in an email message. This universal cross-site scripting issue could be used to take actions on a user's behalf on any website or webmail provider if the user visits a malicious website."

und

"This update resolves a universal cross-site scripting issue that could be used to take actions on a user's behalf on any website or webmail provider if the user visits a malicious website (CVE-2011-2444).

Note: There are reports that this issue is being exploited in the wild in active targeted attacks designed to trick the user into clicking on a malicious link delivered in an email message."

und

"Adobe would like to thank the following individuals and organizations for reporting the relevant issues and for working with Adobe to help protect our customers:
[...]
• Google (CVE-2011-2444)"

Die zweite Informationsquelle ist Adobes Update-Ankündigung, die aber nur die Informationen aus dem Security Advisory wiederholt. Das klingt nach einer ganz normalen XSS-Schwachstelle. Die dritte und letzte Informationsquelle ist ein Beitrag auf Sophos "Naked Security". Demnach hat man bei Sophos noch keinen Exploit entdeckt und hält die Schwachstelle für schwer ausnutzbar:

"SophosLabs has yet to see any samples in the wild, and notes that CVE-2011-2444 is not straightforward to exploit. Nevertheless, as Adobe reports, this vulnerability has been exploited, albeit only in targeted attacks so far."

Das ist doch alles etwas merkwürdig. XSS-Schwachstellen gibt es wie Sand am Meer. Warum sollten Cyberkriminelle ausgerechnet eine, laut Sophos nur schwierig ausnutzbare, XSS-Schwachstelle im Flash Player für gezielte Angriffe ausnutzen? Vor allem über einen Link in einer E-Mail? Da hat man doch viel bessere Möglichkeiten. Ich hoffe, es wird noch mehr über diese Angriffe bekannt. Kann darüber jede Website angegriffen werden oder nur die, auf denen Flash eingesetzt wird? Vor allem würde mich aber interessieren, wer da angegriffen wurde. Denn Adobe hat vor allem Angst vor Angriffen, die von Staaten ausgehen:

"In the last eighteen months, the only zero days found in our software have been found by what Dave Aitel would call carrier-class adversaries. [...] These are the groups that have enough money to build an aircraft carrier. Those are our adversaries.""

Ziel der Angriffe sind dann "a select group of high-profile organizations. That usually means defense contractors, government agencies or large financial services companies". Bei so einem Angriff wäre es verständlich, dass ein Update außer der Reihe veröffentlicht wird - auch wenn es sich eigentlich nur um eine XSS-Schwachstelle handelt, die ansonsten nur quasi "im Vorbeigehen" behoben würde. Aber vielleicht ist die XSS-Schwachstelle auch nur ein Vorwand und tatsächlich wird eine andere Schwachstelle ausgenutzt. Vielleicht sogar eine, die im Advisory gar nicht genannt wird. Denn Adobe hat ja die schlechte Angewohnheit, nur das zuzugeben, was sich nicht vermeiden lässt.

Auf jedem Fall ist das mal wieder eine gute Gelegenheit, vor dem Flash Player zu warnen: Der Flash Player ist Gefährlich und Überflüssig und gefährdet Ihr Online-Banking!.

Carsten Eilers

Trackbacks

Keine Trackbacks