Adobe patcht Flash 0-Day-Schwachstelle (nicht die von heute morgen!)
Adobe hat eine 0-Day-Schwachstelle im Flash Player gepatcht, die bereits für Angriffe ausgenutzt wird. Dabei handelt es sich nicht um die heute morgen gemeldete 0-Day-Schwachstelle im Flash Player, die wird noch untersucht.
Die "neue" Schwachstelle ist relativ harmlos
Die "neue" Schwachstelle hat die CVE-ID CVE-2015-0310 und erlaubt das Umgehen von "memory randomization mitigations on the Windows platform", also wohl ASLR. Da es auch Updates für Mac OS X und Linux gibt könnten diese Systeme auch von der Schwachstelle betroffen sein. Oder es gibt die Updates dort nur, um die Versionsnummern auf dem gleichen Stand zu halten.
Adobe weiß von einem Exploit "in the wild", der gegen "older versions of Flash Player" eingesetzt wird. Wobei zumindest mir nicht klar ist, was "ältere Versionen" in diesem Fall sind - wirklich ältere, also aus dem vergangenen Jahr (oder noch älter) oder alle, die älter als die neueste Version mit dem Patch sind?
In der Praxis ist das natürlich egal, da muss man sowieso immer die neuste Version verwenden (wenn man den Flash Player denn unbedingt behalten will). Trotzdem wäre es interessant zu wissen, wie alt die Versionen sind, die angegriffen werden. Denn davon muss es dann entweder so viele Installationen geben, dass es sich lohnt - oder irgend ein Opfer eines gezielten Angriff nutzt noch womöglich uralte Versionen.
Nicht kritisch, aber Patch außer der Reihe?
Da "nur" eine Mitigation ausgehebelt wird, ist die Schwachstelle auch nicht kritisch. Um sie auszunutzen, muss ein Angreifer erst mal eine weitere Schwachstelle finden, über die er Code einschleusen kann. Erst der kann dann diese Schwachstelle verwenden, um die ASLR zu unterlaufen (entweder weil Code an feste, vorhersagbare Adressen geladen wird oder weil Adressen verraten werden).
Da man die Schwachstelle trotz der Einstufung als "Important" außer der Reihe gepatcht hat muss es da irgendwo ziemlich brennen. Sollte diese Schwachstelle etwa vom neuen 0-Day-Exploit im Angler Exploit Kit zum Umgehen von ASLR genutzt werden? Immerhin bedankt man sich unter anderen bei Kafeine für die Meldung der Schwachstelle, und der hat ja den neuen Exploit in Angler entdeckt. Und laut seiner Beschreibung von CVE-2015-0310 hat er den Exploit im Angler Exploit Kit gefunden. Da liegt der Verdacht nahe, dass die Angler-Entwickler auch im neuen 0-Day-Exploit darauf zurück greifen, um ASLR zu umgehen.
Ach ja: Könnte mir mal jemand erklären, wieso es in Adobes Security Bulletins jeweils einen Abschnitt "Summary" und "Details" gibt, in denen fast genau das gleiche steht? Gibt es in den USA eine Mindestlänge für Security Bulletins?
Trackbacks
Dipl.-Inform. Carsten Eilers am : Neuer 0-Day-Exploit im Umlauf - Der Flash Player gefährdet (mal wieder) Ihre Sicherheit!
Vorschau anzeigen