Open Source im professionellen Einsatz

Adobe Flash: Zahlreiche kritische Schwachstellen

 Ein aktuelles Update für Adobe Flash korrigiert insgesamt 23 Sicherheitslücken. Die meisten dieser Schwachstellen erlauben es einem entfernten Angreifer Befehle mit den Rechten des Anwenders auszuführen. Hierzu genügt es schon, dass ein potenzielles Opfer eine Website mit speziell präparierten Flash-Code besucht. Laut Kaspersky wird eine der Schwachstellen (CVE-2016-1010) derzeit aktiv für Attacken ausgenutzt. Angeblich soll auch die Attacke gegen Systeme des Bundestags über solch eine Sicherheitslücke erfolgt sein. Die verschiedene Schwachstellen können in folgende Klassen eingeteilt werden:

  • Integer-Overflow-Fehler: hierbei wird eine Integer-Variable zum Überlauf gebracht, wodurch der Angreifer dann seinen eigenen Programmcode ausführen kann (CVE-2016-0963, CVE-2016-0993, CVE-2016-1010).
  • Use-after-Free-Fehler: Zu diesem Problem kommt es, wenn der Programmcode schon freigegebenen Speicher wiederverwendet. Dadurch kommt der Mechanismus zur Speicherallokation durcheinander, was ein Angreifer zum Ausführen von eigenem Programmcode ausnutzen kann (CVE-2016-0987, CVE-2016-0988, CVE-2016-0990, CVE-2016-0991, CVE-2016-0994, CVE-2016-0995, CVE-2016-0996, CVE-2016-0997, CVE-2016-0998, CVE-2016-0999, CVE-2016-1000).
  • Heap-Buffer-Overflow-Fehler: eine solche Schwachstelle tritt auf, wenn auf dem Heap Speicher einer bestimmte Länge alloziert wird, aber dann mehr Daten in diesen Speicher geschrieben werden (CVE-2016-1001).
  • allgemeinere Speicherfehler: hierunter Fallen verschiedene Probleme im Speichermanagement, die ebenfalls das Ausführen von Programmcode ermöglichen (CVE-2016-0960, CVE-2016-0961, CVE-2016-0962, CVE-2016-0986, CVE-2016-0989, CVE-2016-0992, CVE-2016-1002, CVE-2016-1005).
comments powered by Disqus