Trotz Patch: Vier Jahre alte Adobe-Lücke gefährdet Websites

Andre Borbe,
Adobe (Grafik: Adobe)

Die Schwachstelle betrifft den Flash-Compiler. Angreifer können mit veralteten Flex-SDK-Versionen kompilierte Anwendungen und Filme nutzen, um Schadcode auszuführen. Auch ein aktueller Browser sowie Flash-Plug-in schützen nicht vor der Sicherheitslücke.

Eine vier Jahre alte Schwachstelle in Adobes Flex-SDK-Compiler bedroht immer noch bekannte Websites. Ein Patch liegt bereits seit 2011 vor. Die Bedrohung haben Sicherheitsforscher auf der Konferenz Troopers 2015 präsentiert. Mauro Gentile hat sie im Anschluss auf Full Disclosure veröffentlicht.

Der Fehler trägt den Namen CVE-2011-2461 und betrifft das Adobe Flex SDK 3.x und 4.x. Er lässt sich ausnutzen, um HTML Scripts aus der Ferne zu injizieren. Dafür müssen Angreifer das fürs Laden von Modulen genutzte System nutzen. Auf diese Weise haben sie die Möglichkeit, Daten von Besuchern der betroffenen Websites zu entwenden. Anfällige Flex-Anwendungen müssen erneut kompiliert oder gepatcht werden, um den von Adobe mit mittlerem Schweregrad bewerteten Fehler zu beseitigen.

Der von den Forschern entwickelte Angriff kann mit einer Flash-Datei im .SWF-Format realisiert werden, die mit einem angreifbaren Flex-SDK kompiliert wurde. Ein aktueller Browser und ein Flash-Plug-in auf dem neuesten Stand kann ein Opfer nicht schützen.

Mit Same-Origin Request Forgery sind Angreifer in der Lage, Daten zu stehlen oder Aktionen im Namen der Site durchzuführen. Dafür benötigen sie lediglich einen vor vier Jahren oder früher kompilierten Flash-Film und müssen ihn dazu zwingen, ihren Schadcode zu laden.

Adobe Flash Player (Bild: Adobe)Mit den alten Versionen von Adobe Flex kompilierte Dateien führen unter anderem keine ordnungsgemäße Validierung der Sicherheitsdomains von Modulen durch. Gentile schreibt: “Da HTTP-Anfragen Cookies enthalten und von der Domain des Opfers ausgehen, können HTTP-Antworten private Daten wie Anti-Cross-Site-Request-Forgery-Token und Nutzerinformationen enthalten.”

Wie verbreitet dieses Problem wirklich ist, haben Gentile und seine Kollegen in einem großangelegten Test untersucht. Sie “ermittelten SWFs auf beliebten Websites und analysierten diese Dateien mit einem selbst geschriebenen Werkzeug, um Muster angreifbaren Codes zu entdecken.” Dabei habe man viele prominente Opfer gefunden. Davon hätten sich drei Sites in den Top 100 von Alexa befunden.

Mehr zum Thema

Alternativen für Reader, Photoshop & Co.

Der Flash-Player ist am Ende. Zum Glück, denn er ist ein Einfallstor für Trojaner und Hacker, und mit HTML5 gibt es einen passenden Ersatz. Doch ein Leben ganz ohne Adobe? Ohne Reader? Ohne Photoshop? Es ist möglich – mit Programmen, die dazu noch kostenlos sind.

zum Artikel »

“In den letzten Monaten haben wir unser Bestes getan, um einigen der größten Sites dieses Problem direkt zu vermitteln, aber ein größeres Publikum erreichen wir nicht, ohne die technischen Details öffentlich zu machen. Die vielen gefundenen anfälligen Anwendungen zeigen eindeutig, dass CVE-2011-2461 im Jahr 2011 nicht die nötige Aufmerksamkeit erhalten hat.”

Die Forscher haben nun ihr Java-Werkzeug ParrotNG verfügbar gemacht, das Flash-Dateien auf Verwundbarkeit prüft. Sie hoffen, damit das Problem dauerhaft ausrotten zu können. In den nächsten Tagen sollen zusätzliches Material und Fallstudien zu betroffenen Domains folgen.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de