Trojaner-Warnung: Flashplayer weist Lücke auf (Update)

Eine neue Warnung des Sicherheitsunternehmens Symantec beschreibt eine Sicherheitslücke in Adobes Flash Player. Diese Lücke soll laut Symantec bereits aktiv von Webseiten missbraucht worden sein. Einige Seiten sind schon jetzt mit Trojanern bestückt, die sich dann beim Besuch der Seiten und Öffnen des Flashplayers auf dem Rechner einnisten. Ein Update ist bisher Fehlanzeige.

Inhaltsverzeichnis

1. 1Das Update finden Sie am Ende des Artikels
2. 2Mehr als 20.000 Seiten infiziert
3. 3Update 29.05.2008: Verwirrung statt Entwarnung

Das Update finden Sie am Ende des Artikels

Chinesische Server sollen Schuld an den Angriffen sein. Die Domains wuqing17173, woa117.cn aber auch playonline.com, welche sich gegenüber den chinesischen Servern erst einmal seriös liest, sind mit dem Exploit-Code infiziert. Dieser Code wird von eingeschleusten Links in gehackten Web-Auftritten, beispielsweise mit iframes, aufgerufen, um auf die Rechner Trojaner einzuschleusen.

Mehr als 20.000 Seiten infiziert

Laut Symantec verweisen bereits mehr als 20.000 gehackte Seiten auf den chinesischen Server woai117.cn. Dies hat die Sicherheitsfirma ganz einfach per Google-Suche feststellen können. Da es zurzeit noch kein Update von Adobe gibt, ist es für den User wichtig, einfache Sicherheitstools zu benutzen.

Im Gegensatz zu großen Firmen, wo ein Netzwerkadministrator per Internet-Gateway bestimmte Server einfach blocken kann, sollten private Anwender auf den Browser Firefox zurückgreifen. Dieser besitzt mit den Add-Ons Flashblock und NoScript die Möglichkeit, eingebettete Flash-Objekte erst einmal zu blocken. Erst wenn der User sie aktiviert, öffnet sich der Player.

Microsoft-Liebhaber sollten dagegen vorsichtiger sein. Da der Internet Explorer noch keinen eigenen Flash-Blocker besitzt, ist ein Deinstallieren des Flashplayers unumgänglich. Geübte Anwender können sich aber auch mit dem Setzen des Killbits für die Class ID d27cdb6e-ae6d-11cf-96b8-444553540000 vor den Angriffen schützen ("Kill Bit" ist ein spezifischer Wert für den DWORD-Wert "Compatibility Flags" des ActiveX-Steuerelements in der Registrierung. Dazu finden Sie in den Links zum Thema eine Anleitung von Microsoft).

Update 29.05.2008: Verwirrung statt Entwarnung

Symantec gibt eine Warnung heraus und versucht jetzt im Nachhinein heraus zu finden, ob sie berechtigt war. Adobe und McAfee beteiligen sich an den Überprüfungen. Nach Untersuchungen von Adobe scheint die aktuellste Version des Flash-Players 9.0.124.0 doch nicht betroffen zu sein. Symantec pflichtet insofern bei, als das die schädliche Datei unter Linux den Flash-Player zum Absturz bringe. Laut Adobe ein gewolltes Verhalten, das die Ausführung von Schadcode verhindere.

Laut McAfee schließt die Version 9.0.124.0 des Flash-Players die Lücken, die die aktuelle schädliche Flash-Datei ausnutzt. Da der Firma die Datei aber nicht vorliegt, könne sie aber nicht gänzlich ausschließen, dass es nicht auch in der aktuellen Version Lücken gebe. Momentan herrscht also Verwirrung. Keines der drei Unternehmen ist sich sicher, dass die aktuelle Version des Flash-Players sicher ist. Eine Entwarnung gibt also noch nicht.