Trotz Patch: Vier Jahre alte Adobe-Lücke gefährdet Websites

Eine vier Jahre alte Schwachstelle in Adobes Flex-SDK-Compiler bedroht immer noch bekannte Websites. Ein Patch liegt bereits seit 2011 vor. Die Bedrohung haben Sicherheitsforscher auf der Konferenz Troopers 2015 präsentiert. Mauro Gentile hat sie im Anschluss auf Full Disclosure veröffentlicht.

Der Fehler trägt den Namen CVE-2011-2461 und betrifft das Adobe Flex SDK 3.x und 4.x. Er lässt sich ausnutzen, um HTML Scripts aus der Ferne zu injizieren. Dafür müssen Angreifer das fürs Laden von Modulen genutzte System nutzen. Auf diese Weise haben sie die Möglichkeit, Daten von Besuchern der betroffenen Websites zu entwenden. Anfällige Flex-Anwendungen müssen erneut kompiliert oder gepatcht werden, um den von Adobe mit mittlerem Schweregrad bewerteten Fehler zu beseitigen.

Der von den Forschern entwickelte Angriff kann mit einer Flash-Datei im .SWF-Format realisiert werden, die mit einem angreifbaren Flex-SDK kompiliert wurde. Ein aktueller Browser und ein Flash-Plug-in auf dem neuesten Stand kann ein Opfer nicht schützen.

Mit Same-Origin Request Forgery sind Angreifer in der Lage, Daten zu stehlen oder Aktionen im Namen der Site durchzuführen. Dafür benötigen sie lediglich einen vor vier Jahren oder früher kompilierten Flash-Film und müssen ihn dazu zwingen, ihren Schadcode zu laden.

Mit den alten Versionen von Adobe Flex kompilierte Dateien führen unter anderem keine ordnungsgemäße Validierung der Sicherheitsdomains von Modulen durch. Gentile schreibt: “Da HTTP-Anfragen Cookies enthalten und von der Domain des Opfers ausgehen, können HTTP-Antworten private Daten wie Anti-Cross-Site-Request-Forgery-Token und Nutzerinformationen enthalten.”

Wie verbreitet dieses Problem wirklich ist, haben Gentile und seine Kollegen in einem großangelegten Test untersucht. Sie “ermittelten SWFs auf beliebten Websites und analysierten diese Dateien mit einem selbst geschriebenen Werkzeug, um Muster angreifbaren Codes zu entdecken.” Dabei habe man viele prominente Opfer gefunden. Davon hätten sich drei Sites in den Top 100 von Alexa befunden.

“In den letzten Monaten haben wir unser Bestes getan, um einigen der größten Sites dieses Problem direkt zu vermitteln, aber ein größeres Publikum erreichen wir nicht, ohne die technischen Details öffentlich zu machen. Die vielen gefundenen anfälligen Anwendungen zeigen eindeutig, dass CVE-2011-2461 im Jahr 2011 nicht die nötige Aufmerksamkeit erhalten hat.”

Die Forscher haben nun ihr Java-Werkzeug ParrotNG verfügbar gemacht, das Flash-Dateien auf Verwundbarkeit prüft. Sie hoffen, damit das Problem dauerhaft ausrotten zu können. In den nächsten Tagen sollen zusätzliches Material und Fallstudien zu betroffenen Domains folgen.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de