Wiggel
chronische Wohlfühlitis
Neuer Flash-Player behebt Sicherheitslücke
Macromedia hat einen neuen Flash-Player zum Download bereitgestellt, der Filme und Flash-Cookies lokal so ablegt, dass nur noch der Player selbst darauf zugreifen kann. Macromedia reagiert damit auf Sicherheitslücken im Internet Explorer und Opera, mit denen es möglich ist, beliebige lokale Daten auf dem PC zu lesen.
Da der Flash-Player Daten in einem relativ einfach vorhersagbaren Ordner speichert, kann ein Angreifer über manipulierte Webseiten spezielle Cookies ablegen und anschließend den Browser dazu bringen, dieses Cookie aus dem Flash-Ordner zu lesen. In einem bösartigen Cookie kann der Angreifer HTML- und Skript-Code speichern, den der Browser in der lokalen Sicherheitszone ausführt. Damit ist ein Angreifer in der Lage, das System unter seine Kontrolle zu bringen und beispielsweise weiteren Code nachzuladen. Entsprechende Exploits kursieren bereits im Internet.
In der aktualisierten Version 7.0.19.0 des Flash-Players können keine anderen Applikationen mehr auf Filme und Cookies zugreifen. Wie Macromedia dieses Problem gelöst hat, beschreibt der Hersteller in seinem Advisory nicht. Auf jeden Fall empfiehlt der Hersteller die neue Version zu installieren, da für den Internet Explorer und Opera noch keine Patches für diese Schwachstelle zu Verfügung stehen.
http://www.macromedia.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash
Macromedia hat einen neuen Flash-Player zum Download bereitgestellt, der Filme und Flash-Cookies lokal so ablegt, dass nur noch der Player selbst darauf zugreifen kann. Macromedia reagiert damit auf Sicherheitslücken im Internet Explorer und Opera, mit denen es möglich ist, beliebige lokale Daten auf dem PC zu lesen.
Da der Flash-Player Daten in einem relativ einfach vorhersagbaren Ordner speichert, kann ein Angreifer über manipulierte Webseiten spezielle Cookies ablegen und anschließend den Browser dazu bringen, dieses Cookie aus dem Flash-Ordner zu lesen. In einem bösartigen Cookie kann der Angreifer HTML- und Skript-Code speichern, den der Browser in der lokalen Sicherheitszone ausführt. Damit ist ein Angreifer in der Lage, das System unter seine Kontrolle zu bringen und beispielsweise weiteren Code nachzuladen. Entsprechende Exploits kursieren bereits im Internet.
In der aktualisierten Version 7.0.19.0 des Flash-Players können keine anderen Applikationen mehr auf Filme und Cookies zugreifen. Wie Macromedia dieses Problem gelöst hat, beschreibt der Hersteller in seinem Advisory nicht. Auf jeden Fall empfiehlt der Hersteller die neue Version zu installieren, da für den Internet Explorer und Opera noch keine Patches für diese Schwachstelle zu Verfügung stehen.
http://www.macromedia.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash