Update morgen

Neue kritische Flash-Lücke analysiert

Adobe hat für den 15. April ein wichtiges Sicherheits-Update für den Flash Player angekündigt. Es soll eine als kritisch eingestufte Schwachstelle beseitigen, die bereits für Angriffe ausgenutzt wird. Microsoft hat unterdessen eine Analyse der Angriffe veröffentlicht, bei denen Word-Dateien mit eingebetteten Flash-Objekten zum Einsatz kommen.

Neue kritische Flash-Lücke analysiert

© Frank Ziemann

Neue kritische Flash-Lücke analysiert

Adobe warnt vor einer Sicherheitslücke in der aktuellen Version 10.2.153.1 des Flash Player und allen älteren. Sie betrifft auch die Flash-Versionen, die etwa in Googles Web-Browser Chrome enthalten oder für Android erhältlich sind. In der aktualisierten Sicherheitsmitteilung APSA11-02 kündigt Adobe für den 15. April eine neue Flash-Player-Version an, in der diese Schwachstelle behoben sein soll.Marian Radu, Daniel Radu und Jaime Wong haben im Blog des Microsoft Malware Protection Center eine Analyse der Angriffe veröffentlicht, die diese Sicherheitslücke ausnutzen. Dabei werden Mails mit Word-Dateien verschickt, die Dateinamen wie "Fukushima .doc" tragen oder ZIP-Archive namens "evaluation about Fukushima Nuclear Accident.zip", in denen Word-Dateien stecken. Die Word-Dokumente enthalten manipulierte Flash-Dateien, die beim Öffnen abgespielt werden. Zum Einschleusen von Malware wird eine Schwachstelle in der ActionScript Virtual Machine Version 1 (AVM1) ausgenutzt. Der Exploit-Code ist dabei in einer Flash-Datei für die AVM2 verpackt. Im Zuge des Angriffs wird die ursprüngliche Word-Datei geschlossen und eine harmlose Fassung geöffnet, um den Angriff zu tarnen.Da Word die ActiveX-Ausgabe des Flash Player für den Internet Explorer nutzt, um Flash-Inhalte anzuzeigen, schützt die Deinstallation des IE-Flash-Player wirksam vor solchen Angriffen. Web-Seiten mit Flash-Inhalten können weiterhin mit einem anderen Browser, der den Flash Player enthält, genutzt werden. Dazu bieten sich etwa Firefox, Opera oder Chrome an. Web-Angriffe, die diese neue Flash-Lücke ausnutzen, sind bislang nicht bekannt, könnten jedoch jederzeit auftreten. Insofern sollten Sie vorsichtshalber bis zur Bereitstellung und Installation des fehlerbereinigten Flash Player warten und den Flash Player solange deaktivieren. Google wird eine neue Chrome-Version bereit stellen, die den neuen Flash Player enthalten wird. Diese wird automatisch herunter geladen und beim nächsten Start von Chrome installiert. Für andere Browser gibt es den Flash Player ab morgen auf der Adobe Website.

Mehr zum Thema

apple,itunes,mp3,musik,lieder,drm
iTunes 10.6

Apple hat neben seinem Mobilbetriebssystem iOS auch iTunes aktualisiert, um etliche Sicherheitslücken zu schließen. Das Update auf die neue Version…
Apple: Quicktime wurde um zwölf Sicherheitslücken bereinigt.
Quicktime 7.7.4

Apple hat nach iTunes auch ein Update für Quicktime bereit gestellt. Die Entwickler haben zwölf Sicherheitslücken geschlossen.
Xnview bekommt ein Update auf Version 2.04.
Update für Bildbetrachter

Xnview ist in der neuen Version 2.04 erhältlich. Darin hat der Entwickler drei Sicherheitslücken geschlossen. Für eine der Lücken ist Exploit-Code…
Adobe hat Patch Day und bringt einige Updates, die Sie brauchen.
Adobe Patch Day

Adobe hat Sicherheits-Updates für Reader und Acrobat sowie für den Flash Player als Download bereit gestellt. Sie beheben mehrere kritische…
Filme archivieren: Symbolbild
Vorsicht vor FLV-Videos

Der VLC Player hat seit über zwei Monaten Sicherheitslücken, durch die Angreifer via Flash- oder MPEG-Videos Schadcode ausführen können.