Totgeglaubte leben länger, oder? So wurde auf der Konferenz Troopers 2015 eindrucksvoll präsentiert, dass eine seit vier Jahren bereits geschlossen geglaubte Sicherheitslücke (CVE-2011-2461) in Adobes Flex-SDK-Compiler weiterhin genutzt wird, um von betroffenen Anwendern sensible Informationen und Daten zu stehlen.
Die Sicherheitslücke (CVE-2011-2461) betrifft Adobe Flex SDK 3.x und 4.x für Windows, Macintosh und Linux und damit entwickelte Shockwave bzw. Flash-Animationen im .SWF-Format. Laut den Experten werden diese gefährdeten Animationen und Filme auf bekannten Webseiten (unter den Top100) eingebunden und erlauben Angreifern, aufgrund fehlender Sicherheitsstandards in den Modulen, via Cross Site Scripting Angriff eigenen Schadcode zu laden und auszuführen. Selbst Besucher mit aktuellem Browser und Flash-Plug-in der neusten Version, kann sich nicht vor dem Laden der Animationen auf den betroffenen Webseiten schützen.

Bildschirmfoto 2015-03-26 um 15.49.58

Bild:ikkisoft

Experten vermuten, dass 2011 dieser Sicherheitslücke und dem bereitgestelltem Update zu wenig Beachtung geschenkt wurde und demnach von vielen nicht durchgeführt wurde. Von dieser Sicherheitslücke (CVE-2011-2461) betroffen Animationen müssen jetzt erneut kompiliert bzw. mit dem bereitgestellten Adobe-Tool gepatcht werden, damit Besucher der Webseite nicht weiterhin gefährdet werden.
Zudem haben Sicherheits-Forscher nun ihr Java-Werkzeug ParrotNG verfügbar gemacht, das Flash-Dateien auf Verwundbarkeit prüft. Sie hoffen, damit das Problem dauerhaft ausrotten zu können. In den nächsten Tagen soll zusätzliches Material und Fallstudien zu betroffenen Domains folgen.