Zwei Zero-Day-Schwachstellen im Flash Player gefunden

2014-01-08  |  Comebuy News

Zwei entdeckte neu Sicherheitslücken in Adobe Flash Player genutzt werden können, um aus der Ferne, nach Sicherheitshinweise aus den US Computer Emergency Readiness Team (US-CERT) und verschiedenen Sicherheitsunternehmen Forschung einen beliebigen Code ausführen.

Comebuy Verwandte Artikel: Patch Adobe Flash zum Schutz vor Zero-Day-ExploitZero-Tag-Fehlern überschätzt, Microsoft SaysGoogle Engineer, Adobe streiten über Flash Bug CreditNSS Labs bietet Belohnung frische exploits90 % der Windows-Benutzer offen für Flash-Angriffe

Die Sicherheitslücken wurden von russischen Schwachstelle Marktforschungsunternehmen Intevydis, entdeckt die Exploits für sie in ihrer Vulndisco-Modul für Immunität Canvas, eine populäre Penetrationstests Anwendung integriert.

Intevydis sagte keine Pläne Adobe über Sicherheitslücken zu informieren, Firmengründer und CEO Evgeny Legerov. Vor zwei Jahren kündigte Legerov, dass seine Firma nicht mehr Anbieter bezüglich der Sicherheitslücken mitteilt, es erkennt.

Intevydis ist nicht das einzige Sicherheitsunternehmen, das die "nicht mehr frei Fehler"-Ansatz. Französische Sicherheitslücken-Forschung Firma Vupen ist auch entdeckt Adept des diese Philosophie und nur Aktien, die Informationen über die Sicherheit er stellt mit seinen zahlenden Kunden.

Die Heldentaten von Intevydis entwickelt, für die zwei Zero-Day-Flash Player-Schwachstellen können Windows-Anti-Ausbeutung-Funktionen einschließlich DEP und ASLR umgehen und entziehen können die Internet Explorer-Sandbox, Legerov schrieb am Dienstag auf der Mailingliste Immunität.

Das Unternehmen veröffentlicht eine Video zeigt die Heldentaten in Aktion unter Windows und versprach, Mac OS X-Implementierungen sowie freizugeben.

Flash Player-Schwachstellen können ausgenutzt werden, durch die Einbettung von kodierten Flash-Inhalte in Webseiten oder PDF-Dokumente. Adobe Reader und Adobe Acrobat sind in der Regel von Flash Player Fehler betroffen, weil sie eine Flash Wiedergabekomponente enthalten.

Adobe hat kein Hinweis auf diese beiden Schwachstellen noch ausgestellt und es nicht sofort einen Antrag auf Kommentar zurück. Das Unternehmen arbeitet bereits an einem Patch für eine unterschiedliche Zero-Day-Schwachstelle im Adobe Reader, die für nächste Woche geplant ist.

Antiviren-Unternehmen und Intrusion-Detection-System-Anbieter haben noch zum Erstellen von Signaturen für diese Schwachstellen nach das SANS Internet Storm Center (ISC). In der Zwischenzeit besteht die Gefahr, dass böswillige Personen Ingenieur Intevydis Exploits umkehren könnte.

Sicherheitsbewusste Anwender sinnvoll verwenden Flash-Blocker-Technologie in ihrem Browser und Flash deaktivieren zu diesem Zeitpunkt keine Angriffe dieser Flash Player Sicherheitslücken in freier Wildbahn entdeckt worden, sondern im Adobe Reader zu unterstützen, bis ein Patch verfügbar ist.

« Back