Der 0-Day-Exploit im Dezember trifft.... Den Flash Player!
Sowohl Microsoft als auch Adobe hatten am 9. Dezember ihren Patchday. Und während Microsoft diesmal keine bereits für Angriffe genutzten Schwachstellen patchen musste, gab es von Adobe ein Update für den Flash Player, mit dem unter anderem eine bereits ausgenutzte Schwachstelle behoben wird.
Die Statistik für 2014 sieht damit bisher so aus:
- Insgesamt wurden 14 bereits für Angriffe genutzte Schwachstellen behoben,
- dazu kommen die von Microsoft als kritisch eingestufte Privilegieneskalation in Kerberos sowie
- zwei reine 0-Day-Schwachstellen, für die es bisher keine Exploits gibt.
Verglichen mit 2013 sind wir dieses Jahr also bisher glimpflich davon gekommen, letztes Jahr gab es 21 0-Day-Exploits. Wobei so ein Vergleich natürlich ziemlich nutzlos ist, aber warum soll man nicht mal die 0-Day-Exploits pro Jahr vergleichen, wenn man auch Regen, Schnee oder Sonnenschein vergleicht?
Die Schwachstelle im Flash Player
Im Security Bulletin APSB14-27 für den Flash Player werden Patches für 6 Schwachstellen angekündigt. Eine davon, CVE-2014-9163, wird laut Adobe bereits "in the wild" ausgenutzt:
"Adobe is aware of reports that an exploit for CVE-2014-9163 exists in the wild, ..."
Ansonsten ist wenig über die Schwachstelle oder den Angriff darauf bekannt. Bemerkenswert ist nur der Hinweis
"Note: Users who have been updated to version 15.0.0.246 are not affected by CVE-2014-9163."
Die Schwachstelle wurde also bereits in einer vorherigen Version korrigiert, wahrscheinlich aber ohne explizit darauf hin zu weisen, das dabei eine Schwachstelle behoben wurde.
Was gibt es sonst noch so Informationen? Es handelt sich um einen Stack-basierten Pufferüberlauf, über den Code eingeschleust werden kann. Und Adobe bedankt sich bei "bilou working with HP’s Zero Day Initiative" für die Meldung der Schwachstelle.
Moment - DAS ist doch interessant: Die Schwachstelle wurde also von einem Sicherheitsforscher entdeckt, der sie über die auf die Meldung von Schwachstellen an die betreffenden Entwickler spezialisierte ZDI an Adobe gemeldet hat. Das lässt Raum für zwei Möglichkeiten: Entweder hat bilou die Schwachstelle im Schadcode "in the Wild" entdeckt, also nachdem es die ersten Angriffe darauf gab. Oder er hat sie unabhängig von den Cyberkriminellen entdeckt, was mal wieder zeigt, dass man sich beim Patchen nicht zu viel Zeit lassen darf, denn eine Schwachstelle kann jederzeit mehr als einmal entdeckt werden.
Das Advisory der ZDI enthält dazu leider auch keine brauchbaren Informationen außer der, dass die Schwachstelle Adobe am 15. Oktober gemeldet wurde. Sollte bilou keine eigenes Advisory veröffentlichen können wir wohl nur warten, was die Antiviren-Hersteller zu den Angriffen zu sagen haben.
Außer dieser kritischen Schwachstellen, die das Einschleusen von Code erlaubt, wurden noch zwei weitere, weniger kritische 0-Day-Schwachstellen behoben:
Eine Sandbox-Ausbruch im Adobe Reader ...
Adobe hat auch eine 0-Day-Schwachstelle im Adobe Reader und Acrobat behoben. Die wird aber bisher nicht für Angriffe genutzt, sondern wurde nur vor Veröffentlichung der Patches veröffentlicht.
Die Schwachstelle mit der CVE-ID CVE-2014-9150 erlaubt das Schreiben in Dateien an beliebigen Orten und damit den Ausbruch aus der Sandbox und wurde von James Forshaw von Googles Project Zero am 26. November samt Proof-of-Concept-Code veröffentlicht, nachdem Adobe in 90 Tagen keinen Patch veröffentlicht hat.... und ein Informationsleck in Microsoft Graphics
Microsoft behebt mit den Patches zum Security Bulletin MS14-085 ebenfalls eine 0-Day-Schwachstelle, auf die es bisher keine Angriffe gibt.
Die Schwachstelle mit der CVE-ID CVE-2014-6355 tritt beim Dekodieren von JPEG-Dateien auf und erlaubt es, Informationen über das System zu erlangen, die dann zum Beispiel beim Unterlaufen von Mitigations wie der Address Space Layout Randomization (ASLR) genutzt werden können. Entdeckt und an Microsoft gemeldet wurde die Schwachstelle von Michal Zalewski, der sie am 14. Oktober veröffentlicht hat. Ebenfalls nachdem Microsoft in 90 Tagen keinen Patch veröffentlichen konnte.
Trackbacks