Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1505

[GNU/Linux/Flash Player] Schwachstelle im Flash Player für Linux
(2008-12-18 09:47:02.035386+00) Druckversion

Quelle: http://www.adobe.com/support/security/bulletins/apsb08-24.html

Eine Schwachstelle im Flash Player der Versionen 9.0.151.0 und 10.0.12.36 für GNU/Linux kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System mit den Privilegien des Flash Players auszuführen.

Inhalt

Zusammenfassung

Betroffen: Flash Player für Linux
Einfallstor: SWF-Datei
Angriffsvoraussetzung:Benutzerinteraktion
Angriffsvektorklasse: remote
Auswirkung: user compromise
Typ: unknown
Gefahrenpotential: hoch
Workaround: ja
Gegenmaßnahmen: neue Version
Vulnerability ID: CVE-2008-5499, APSB08-24

Betroffene Systeme

  • Flash Player 9.0.151.0 und früher für Linux
  • Flash Player 10.0.12.36 für Linux
  • Flash Player 10.0.12.36 network distribution für Linux
  • Flash Player 9.0.151.0 network distribution für Linux
  • AIR 1.1 für Linux beta

Nicht betroffene Systeme

  • Flash Player Versionen für andere Betriebssysteme sind nicht betroffen.

Einfallstor

  • SWF-Datei (Shockwave Flash-Datei)

Angriffsvoraussetzung

  • Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechende SWF-Datei im Flash Player betrachten. Diese kann ihm z.B. über eine Webseite oder eine E-Mail-Nachricht zugeleitet werden. Da viele Webseiten teilweise oder vollständig auf Flash-Animationen basieren, ist es üblich, dass Browser so konfiguriert sind, dass entsprechende Teile der Webseite ohne weitere Nachfrage im Browser gestartet werden. Insofern beschränkt sich die Benutzerinteraktion auf das Besuchen einer entsprechenden Seite.
    (user interaction)

Angriffsvektorklasse

  • über eine Netzwerkverbindung
    (remote)

Auswirkung

  • Ausführung beliebigen Programmcodes mit den Privilegien des Players; dies sind üblicherweise die Privilegien des betrachtenden Benutzers
    (user compromise)

Typ der Verwundbarkeit

  • unbekannt
    (unknown)

Gefahrenpotential

  • hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Eine Schwachstelle im Flash Player der o.g. Versionen kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System mit den Privilegien des Flash Players auszuführen. Dies sind im Allgemeinen die Privilegien des Benutzers oder der Applikation (meist ein Browser), die den Player gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die Ausnutzung der Schwachstelle zur Kompromittierung des beherbergenden Systems.

Zur erfolgreichen Ausnutzung der Schwachstelle ist es erforderlich, dass der Angreifer dem Opfer eine entsprechend präparierte SWF-Datei zuleitet, die dieser in einem verwundbaren Player ansehen muss. Da viele Webseiten teilweise oder vollständig auf Flash-Animationen basieren, ist es üblich, dass Browser so konfiguriert sind, dass entsprechende Teile der Webseite ohne weitere Nachfrage im Browser gestartet werden. In einem solchen Fall ist es ausreichend, wenn der Benutzer eine Webseite aufruft, die eine entsprechende SWF-Datei bereithält.

Workaround

  • Deinstallation des Flash-Plug-Ins im Browser
  • Deinstallation des Flash Players
  • Wählen von Konfigurationen und Installation von Programmen, die em Benutzer mehr Kontrolle über die Ausführung von Flash-Dateien geben. Beispiele für den Firefox Browser:
    • Im Menü Edit->Preferences->Applications sollte für die Einträge:
            SPL file         Use Shockwave Flash (in Firefox)
            SWF file         Use Shockwave Flash (in Firefox)
            
      geändert werden in:
            SPL file         Always ask
            SWF file         Always ask
            
    • Das Firefox Add-on Flashblock verhindert das Laden (und Ausführen) von Flash-Dateien und stellt auf der entsprechenden Seite einen Platzhalter dar, der bei Bedarf angeklickt werden kann. In diesem Fall wird die Flash-Datei nachgeladen und ausgeführt.

Gegenmaßnahmen

Vulnerability ID

Revisionen dieser Meldung

  • V 1.0 (2008-12-18)
  • V 1.1 (2008-12-21):
(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.