Für Adobes Flash-Player wurde heute das Sicherheitsupdate 10.0.45.2 und für AIR das Sicherheitsupdate 1.5.3.1930 von Adobe heraus gegeben.
Das Update sollte schnellst möglich installiert werden, denn es schließt eine gravierende Sicherheitslücke. Jeder kennt die kleinen bewegten Werbebanner oder Werbefilmchen die uns heute auf einem Großteil aller Webseiten ins Auge springen oder sogar akustisch ansprechen. Das Format dieser Werbung ist noch immer vorrangig “Flash”, ein entsprechendes Flash Plugin hat fast jeder in seinem Browser aktiv, damit diese Werbung, (aber auch brauchbare Informationen) erkennbar und nicht als Fehlermeldung angezeigt wird.
In diesem Plugin ist allerdings eine Sicherheitslücke. Wenn nun ein solches Werbebildchen (vielleicht sogar durch Dritte) “manipuliert” wird, kann es Informationen auslesen, die sich in ANDEREN Browserfenstern befinden.
Im schlimmsten Fall: Herr Maier betreibt grade Online Banking und möchten etwas überweisen. Er fragen seine Sekretärin nach der Bankverbindung seines Zahlungsempfängers, diese verspricht die Bankverbindung + Rechnungsbetrag kurz per Mail rüber zu schicken.
Herr Maier öffnet in einem zweiten Browserfenster sein WebMail und wartet dort auf die Mail seiner Sekretärin. Um die Wartezeit zu verkürzen, öffnet er in einem dritten Fenster seine Lieblings-Newsseite …. auf dieser prangert rechts ein manipuliertes Werbeflash für … Pferdekopfbuchstützen..
Das Manipulierte Flash kann nun die Daten aus dem Browserfenster mit dem Online-Banking auslesen und auch die Daten aus dem geöffneten Fenster des Webmails.
Der Angreifer erhält so unter Umständen Zugang zu Bankkonto und E-Mail Konto ! Also: DRINGEND Updaten !
Neben dieser Schwachstelle, wird auch noch eine nicht näher beschriebene Denial-of-Service-Schwachstelle beseitigt, ob es sich hierbei um die seit Monaten ungepatchte Lücke handelt, für welche Adobe sich vor kurzem entschuldigte, ist nicht bekannt.
– Flashplayer Update
– Air Update (Air wird z.B. auch für das weit verbreitete TweetDeck benötigt)
