Eine ungepatchte Lücke in Adobes Flash Player lässt sich nach Angaben des Herstellers ausnutzen, um Schadcode in ein System zu schleusen und zu starten. Die Lücke wurde offenbar bereits aktiv bei gezielten Angriffen ausgenutzt, wobei die Opfer allerdings nicht auf eine präparierte Webseite gelockt wurden, sondern per Mail ein infiziertes Excel-Dokument erhielten. Darin war als Objekt laut Adobe eine präparierte swf-Datei eingebettet, die der Flash Player beim Öffnen des Dokuments abspielte.
Betroffen ist der Flash Player in den jeweils aktuellen Versionen 10.x für Windows, Mac, Linux, Android sowie das in Chrome eingebettete Flash- Plug-in. Daneben sind auch der Adobe Reader und Acrobat für Windows und Mac jeweils in den Versionen 10.x und 9.x verwundbar, weil derselbe Fehler in deren integrierter Flash-Engine authplay.dll zu finden ist. Zumindest in der Windows-Version 10, die auch als X bekannt ist, lässt sich der Fehler jedoch nicht zum Kompromittieren eines Systems ausnutzen. Die Sandbox-Funktion verhindert nämlich Übergriffe von Schadcode auf das Betriebssystem, sodass ein Angreifer keine Malware installieren kann. Auf den Reader wurden bislang auch noch keine Angriffe beobachtet.
Nach Angaben von Kaspersky läuft der bei den bisherigen Attacken benutzte Exploit zwar unter Windows XP, nicht aber unter Windows 7 – was an den zusätzlichen Sicherheitsfunktionen (DEP, ASLR) liegt. Adobe arbeitet an einem Patch und will Updates für den Flash Player, Reader und Acrobat in der Woche ab dem 21.März veröffentlichen. Die Windows-Version des Reader X soll erst Mitte Juni erscheinen, da die Sandbox darin aus Sicht von Adobe erst mal Schlimmeres verhindert.
http://www.heise.de/newsticker/meldung/Adobe-warnt-vor-Zero-Day-Luecke-in-Flash-und-Reader-1208147.html