Neue 0-Day-Exploits für Flash Player (2 Stück) und Java entdeckt
Es gibt schon wieder neue 0-Day-Schwachstellen im Flash Player, diesmal gleich 2 Stück auf einmal. Wie die vorherige wurden sie in den Daten von Hacking Team gefunden, und zumindest eine der beiden Schwachstellen wird auch schon von Exploit-Kits ausgenutzt.
Update 14.7.2015:
Adobe hat ein
Security Bulletin
veröffentlicht, die Schwachstellen wurden in Version 18.0.0.209 behoben.
Ende des Updates
Ein weiterer 0-Day-Exploit betrifft Java, mit dem hat Hacking Team aber nichts zu tun (zumindest wurde er nicht in deren Daten gefunden).
Update 15.7.2015:
Oracle hat die Schwachstelle
behoben.
Für weitere Informationen siehe unten.
Ende des Updates
Damit führt der Flash Player die Liste mit den 0-Day-Exploits des Jahres 2015 wohl für einige Zeit unangefochten an: 7 (in Worten: Sieben!) 0-Day-Exploits waren dieses Jahr schon für den Flash Player im Umlauf. Zum Vergleich: 2013 gab es 5 und 2014 4 0-Day-Exploits für den Flash Player.
Die aktuellen Flash-Schwachstellen: CVE-2015-5122 ...
Die Schwachstelle mit der CVE-ID
CVE-2015-5122
ist
eine Use-after-Free-Schwachstelle
im Zusammenhang mit den Methoden TextBlock.createTextLine()
und TextBlock.recreateTextLine(textLine)
und erlaubt die
Ausführung beliebigen Codes.
Der PoC aus den Daten von Hacking Team öffnet "nur" den Taschenrechner. Es dürfte den Cyberkriminellen aber nicht besonders schwer gefallen sein, den PoC zu einem Schadcode einschleusenden Exploit zu erweitern. Denn der Exploit ist bereits Bestandteil mindestens eines Exploit-Kits.
Der PoC stammt laut FireEye vom gleichen Autor wir der für die vorherige 0-Day-Schwachstelle. Was aber nicht unbedingt verwunderlich ist, immerhin stammen beide PoCs aus dem Daten, die bei Hacking Team kopiert wurden.
... und CVE-2015-5123
Adobe hat ein Security Advisory für den Flash Player veröffentlicht und darin CVE-2015-5122 beschrieben. Das Advisory wurde kurz darauf erweitert, um eine weitere Schwachstelle anzukündigen: CVE-2015-5123.
Betroffen sind wieder die Versionen für Windows, Mac OS X und Linux, diesmal bis einschließlich Version 18.0.0.204. Ein Patch wurde für die laufende Woche angekündigt.
Die zweite Schwachstelle
betrifft
laut Trend Micro das Objekt BitmapData
. Während Adobe von
Angriffen schreibt, sind Trend Micro bisher keine ausgefallen. Vermutlich
wurde der Exploit also bisher nur im Rahmen gezielter Angriffe durch
Hacking-Team-Kunden eingesetzt. Wie bei den anderen Schwachstellen dürfte
es aber auch hier nicht lange dauern, bis der Exploit den Weg in die
Exploit-Kits schafft.
Die Java-Schwachstelle
Der 0-Day-Exploit für Java wurde von Trend Micro entdeckt. Er wird von der APT-Gruppe "Pawn Storm" für gezielte Angriffe auf die NATO und das Weiße Haus genutzt.
Die Schwachstelle betrifft nur Version 1.8.x (konkret 1.8.0.45), nicht aber Java 1.6 und 1.7. Wie üblich erlaubt sie die Ausführung beliebigen Codes. Oracle wurde über die Schwachstelle informiert, bisher gibt es aber noch keine CVE-ID.
Update 15.7.2015
Die Schwachstelle hat die CVE-ID CVE-2015-2590 erhalten. Oracle hat sie im Rahmen des regulären Oracle Critical Patch Update für Juli 2015 behoben.
Trend Micro hat eine Analyse des Angriffs und des Exploits veröffentlicht. Der Angriff beginnt mit einer E-Mail, die das Opfer auf eine Webseite lockt, auf der dann der Exploit im Rahmen einer Drive-by-Infektion zum Einsatz kommt. Darüber wird dann ein Downloader und von dem eine Hintertür installiert. Ziel der Angriffe waren Unternehmen aus dem Verteidigungssektor ("big defense contractors") in den USA und/oder Kanada.
Ende des Updates
Und nun?
Wie üblich ist mein erster Rat: Deinstallieren Sie den Flash Player, der gefährdet nur ihr System. Ich wette ja prinzipiell nicht, aber zur Zeit dürften Wetten auf das Auftauchen weiterer 0-Day-Exploits in den Hacking-Team-Daten ziemlich sicher sein.
Wenn Sie ihn unbedingt weiter nutzen wollen, aktivieren Sie wenigstens "Click to Play" oder die entsprechende Funktion ihres Browsers oder Nutzen Sie ein entsprechendes Plug-In. Und seien Sie ganz, ganz Vorsichtig, wenn Sie irgendwo Flash erlauben. Auch eigentlich harmlose Websites können kompromittiert sein oder präparierte Werbung enthalten. Wenn Sie dann unbedacht die Ausführung von Flash erlauben, ist Ihr Rechner danach infiziert.
Java wird im Browser ja sowieso nur noch nach Ihrer Zustimmung ausgeführt. Hier gilt das gleiche wie für Flash: Seien Sie vorsichtig, was sie da erlauben!
Trackbacks
Dipl.-Inform. Carsten Eilers am : Der Juli-Patchday war ein 0-Day-Patchday
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Oracle patcht drei Monate alte 0-Day-Schwachstelle in Java
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 2.16 - Wie sicher sind virtuelle Maschinen?
Vorschau anzeigen