Kritische Lücke in Flash geschlossen
Das Adobe Update 10.0.45.2 für Flash-Player und 1.5.3.1930 für AIR schließt eine kritische Sicherheitslücke, durch die Flash-Applets bestimmte Sicherheitsfunktionen aushebeln können, um ohne Nachfrage auf andere Webseiten zuzugreifen. Ein präpariertes Flash auf einer bösartigen Seite könnte die in einem weiteren Browserfenster angezeigten Informationen einer anderen Seite auslesen, beispielsweise Bankdaten und Ähnliches.
Normalerweise dürfen Flash-Applikationen nur auf die Ressourcen des Servers zugreifen, von dem sie geladen wurden. Um das Nachladen von Inhalten etwas flexibler zu gestalten, erlaubt das Flash-Framework seit Version 7 sogenannten Cross-Domain-Requests, wozu die von einem Flash-Applet angefragte Seite die Datei crossdomain.xml ausliefert. Darin ist festgelegt, von welchen externen Seiten respektive Servern Flash-Applets derartige Anfragen stellen dürfen, ohne dass es zu einer Warnung im Flash-Player kommt.
Nach Angaben von Adobe steckt der Cross-Domain-Fehler auch in den aktuellen Versionen 9.3 und 8.2 des Reader für Windows, Mac OS X und Linux sowie in Acrobat. Ein Update ist allerdings erst für den 16. Februar geplant.
Affected software versions
Adobe Flash Player 10.0.42.34 and earlier versions
Adobe AIR 1.5.3.1920 and earlier versions