[GNU/Linux/Flash Player] Schwachstelle im Flash Player für Linux
(2008-12-18 09:47:02.035386+00)
Quelle:
http://www.adobe.com/support/security/bulletins/apsb08-24.htmlEine Schwachstelle im Flash Player der Versionen 9.0.151.0 und 10.0.12.36 für GNU/Linux kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System mit den Privilegien des Flash Players auszuführen.
Inhalt
- Zusammenfassung
- Betroffene Systeme
- Nicht betroffene Systeme
- Einfallstor
- Angriffsvoraussetzung
- Angriffsvektorklasse
- Auswirkung
- Typ der Verwundbarkeit
- Gefahrenpotential
- Beschreibung
- Workaround
- Gegenmaßnahmen
- Vulnerability ID
Zusammenfassung
| Betroffen: | Flash Player für Linux |
| Einfallstor: | SWF-Datei |
| Angriffsvoraussetzung: | Benutzerinteraktion |
| Angriffsvektorklasse: | remote |
| Auswirkung: | user compromise |
| Typ: | unknown |
| Gefahrenpotential: | hoch |
| Workaround: | ja |
| Gegenmaßnahmen: | neue Version |
| Vulnerability ID: | CVE-2008-5499, APSB08-24 |
Betroffene Systeme
- Flash Player 9.0.151.0 und früher für Linux
- Flash Player 10.0.12.36 für Linux
- Flash Player 10.0.12.36 network distribution für Linux
- Flash Player 9.0.151.0 network distribution für Linux
- AIR 1.1 für Linux beta
Nicht betroffene Systeme
- Flash Player Versionen für andere Betriebssysteme sind nicht betroffen.
Einfallstor
- SWF-Datei (Shockwave Flash-Datei)
Angriffsvoraussetzung
- Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechende SWF-Datei im Flash Player betrachten. Diese kann ihm z.B. über eine Webseite oder eine E-Mail-Nachricht zugeleitet werden. Da viele Webseiten teilweise oder vollständig auf Flash-Animationen basieren, ist es üblich, dass Browser so konfiguriert sind, dass entsprechende Teile der Webseite ohne weitere Nachfrage im Browser gestartet werden. Insofern beschränkt sich die Benutzerinteraktion auf das Besuchen einer entsprechenden Seite.
(user interaction)
Angriffsvektorklasse
- über eine Netzwerkverbindung
(remote)
Auswirkung
- Ausführung beliebigen Programmcodes mit den Privilegien des Players; dies sind üblicherweise die Privilegien des betrachtenden Benutzers
(user compromise)
Typ der Verwundbarkeit
- unbekannt
(unknown)
Gefahrenpotential
- hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Eine Schwachstelle im Flash Player der o.g. Versionen kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System mit den Privilegien des Flash Players auszuführen. Dies sind im Allgemeinen die Privilegien des Benutzers oder der Applikation (meist ein Browser), die den Player gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die Ausnutzung der Schwachstelle zur Kompromittierung des beherbergenden Systems.
Zur erfolgreichen Ausnutzung der Schwachstelle ist es erforderlich, dass der Angreifer dem Opfer eine entsprechend präparierte SWF-Datei zuleitet, die dieser in einem verwundbaren Player ansehen muss. Da viele Webseiten teilweise oder vollständig auf Flash-Animationen basieren, ist es üblich, dass Browser so konfiguriert sind, dass entsprechende Teile der Webseite ohne weitere Nachfrage im Browser gestartet werden. In einem solchen Fall ist es ausreichend, wenn der Benutzer eine Webseite aufruft, die eine entsprechende SWF-Datei bereithält.
Workaround
- Deinstallation des Flash-Plug-Ins im Browser
- Deinstallation des Flash Players
- Wählen von Konfigurationen und Installation von Programmen, die em Benutzer mehr Kontrolle über die Ausführung von Flash-Dateien geben. Beispiele für den Firefox Browser:
- Im Menü Edit->Preferences->Applications sollte für die Einträge:
SPL file Use Shockwave Flash (in Firefox) SWF file Use Shockwave Flash (in Firefox)geändert werden in:SPL file Always ask SWF file Always ask - Das Firefox Add-on Flashblock verhindert das Laden (und Ausführen) von Flash-Dateien und stellt auf der entsprechenden Seite einen Platzhalter dar, der bei Bedarf angeklickt werden kann. In diesem Fall wird die Flash-Datei nachgeladen und ausgeführt.
- Im Menü Edit->Preferences->Applications sollte für die Einträge:
Gegenmaßnahmen
- Installation von Flash Player 10.0.15.3 für Linux
- Installation von Flash Player 9.0.152.0 für Linux
- Installation von Flash Player 10.0.15.3 für Linux network distribution
- Installation von AIR 1.1 für Linux beta
Vulnerability ID
Revisionen dieser Meldung
- V 1.0 (2008-12-18)
- V 1.1 (2008-12-21):
- Workaround erweitert
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1505