Software und Security
Zero-Day-Exploit im Adobe Shockwave Player
Sicherheitsexperten haben eine neue kritische Schwachstelle in Adobes Browser-Plugin Shockwave Player entdeckt. Wie die Forscher anhand eines Demo-Exploits zeigen konnten, ermöglicht es die Sicherheitslücke Hackern, Schadcode einzuschleusen und auszuführen.
In Adobes Browser-Plugin Shockwave Player ist eine schwerwiegende Sicherheitslücke entdeckt und veröffentlicht worden. Ein Sicherheitsforscher hat Beispiel-Code mitgeliefert, der demonstriert, wie die Lücke ausgenutzt werden kann, um eingeschleusten Code auszuführen. Adobe hatte das Plugin hat erst im August aktualisiert, um 20 Lücken zu schließen (siehe: Adobe stopft 23 Lücken im Adobe Reader und Acrobat).
Als Entdecker wird das Unternehmen »Abyssec Inc.« genannt. Die Veröffentlichung enthält einen Demo-Exploit, der unter Windows XP SP3 den Windows-Taschenrechner startet. Unter neueren Windows-Version können eingebaute Schutzmaßnahmen das Ausführen von Code unter Umständen verhindern, nur der Browser stürzt ab. Die Schwachstelle steckt in der fehlerhaften Verarbeitung bestimmter, vier Bytes großer Datenblöcke in Director-Dateien. Mit speziell präparierten DIR-Dateien, die diesen Fehler ausnutzen, kann Malware eingeschleust und ausgeführt werden. Laut Adobe sind jedoch bislang keine Angriffe dieser Art bekannt.
Adobe hat die Sicherheitsmitteilung APSA10-04 veröffentlicht und bestätigt darin die Sicherheitslücke. Sie betrifft auch die neueste Version Shockwave Player 11.5.8.612 für Windows sowie Mac OS X und ist als kritisch eingestuft. Adobe arbeitet an einem Sicherheits-Update für den Player, kann jedoch bislang noch keinen Termin für dessen Bereitstellung nennen.
Der Adobe Shockwave Player ist ein Browser-Plugin zum Abspielen multimedialer Inhalte, die mit Adobe Director erstellt wurden. Zum Beispiel werden Spiele und Lernanwendungen mit Director produziert und erfordern zur Wiedergabe den Shockwave Player.
Lesen Sie mehr zum Thema
