Der Flash-Hersteller Adobe hat Informationen zu zahlreichen Sicherheitslücken in den Versionen 7, 8 und 9 des Flash-Players veröffentlicht. Gleichzeitig teilt Adobe mit, den Support für den Flash-Player in Version 7 für alle Plattformen einzustellen.

Mit der jüngsten Flash-Version 9.0.115.0 hat Adobe den Flash-Player nicht nur um diverse neue Funktionen und Möglichkeiten erweitert (wir berichteten), sondern auch eine Reihe zum Teil kritischer Sicherheitslücken geschlossen. Betroffen sind die Versionen 7, 8 und 9 sowie die Anwendungen Flash CS3 Professionell und Flex 2.0. Im Security-Bulletin teilt der Hersteller außerdem mit, den Support für den Flash-Player 7 ab sofort einzustellen. Adobe rät allen Anwendern, die noch ältere Versionen als die vorliegende 9.0.115.0 nutzen, ihr System zu aktualisieren.

Insgesamt zehn Lücken hat Adobe mit der jüngsten Version des Flash-Players geschlossen. Nicht alle davon betreffen auch Linux-Systeme. Unter den CVE-Nummern CVE-2007-4768 und CVE-2007-6242 werden zwei Sicherheitslücken geführt, die durch multiple Fehler beim Validieren eingehender Daten hervorgerufen werden. Mit manipulierten Inhalten konnten Angreifer beliebigen Code auf den angegriffenen Systemen ausführen, wenn das potentielle Opfer die Inhalte via Webbrowser, E-Mail-Client oder andere Anwendungen, die Flash anzeigen können, aufrief.

Eine mögliche DNS-Rebinding-Attacke beschreibt CVE-2007-6243. Ausführliche Details nennt Adobe in einem Artikel im Adobe Developer Center. Mit der neuen Version werden außerdem die Möglichkeiten des Protokolls "asfunction:" eingeschränkt (CVE-2007-6244). Darüber war es möglich, mittels präparierter SWF-Dateien Cross-Scripting-Angriffe durchzuführen. Dieser Fehler betrifft ausschließlich den Flash-Player der Reihen 8 und 9. Nur auf Windows-Systemen konnten durch diesen Fehler weitere Cross-Scripting-Angriffe unter Ausnutzung von "Flash Player ActiveX Control" im Internet Explorer erfolgen.

Einen nicht näher spezifizierten Fehler (CVE-2007-6245 reserviert) konnte ein Angreifer ausnutzen, um angefragte http-Header zu manipulieren und http-Splitting-Attacken durchzuführen. Eine weitere Gefahrenquelle beschreiben CVE-2007-4342 und ein Artikel in der Adobe Knowledgebase. Durch Ausnutzung winziger Abstimmungsunterschiede konnten findige Angreifer mit einer entsprechend präparierten SWF-Datei einen Zielrechner scannen, um offene TCP-Ports zu finden. Der Artikel betont, dass durch dieses Vorgehen kein Zugriff auf das gescannte System möglich wurde.

Der vorletzte Fehler betraf nur Linux-Systeme. Er konnte einem Angreifer durch falsche Rechtevergabe bei der Speicherzuweisung Systemverwalter-Rechte verschaffen (CVE-2007-6246). Die zuletzt beschriebene Sicherheitslücke (CVE-2007-5476) trat nur im Zusammenspiel mit dem Webbrowser Opera unter Mac OS X auf. Über ein manipuliertes SWF konnte ein Angreifer die Kontrolle über das angegriffene System erlangen.

Der Flash-Hersteller Adobe hat Informationen zu zahlreichen Sicherheitslücken in den Versionen 7, 8 und 9 des Flash-Players veröffentlicht. Gleichzeitig teilt Adobe mit, den Support für den Flash-Player in Version 7 für alle Plattformen einzustellen.