Der Sicherheitsdienstleister eEye hat eine Sicherheitslücke in Macromedias Flash Player entdeckt, durch die ein Angreifer Code einschleusen und zur Ausführung bringen könnte. Hierzu genügt das Abspielen einer manipulierten Shockwave-Datei auf einer Website.
Anzeige
Macromedia beschreibt den Fehler in einer Sicherheitsmeldung etwa wie folgt: In Flash Player 7 gibt es ein Problem bei der Längenprüfung von Indizes bestimmter Listen. Die Entdecker der Lücke bei eEye sind etwas präziser. In der Datei flash.ocx wird eine Tabelle mit 256 Funktionsadressen-Zeigern auf dem Stack gehalten. Durch einen so genannten Frame-Type-Marker aus der Shockwave-Datei wird auf diese Tabelle zugegriffen – ohne jedoch zu prüfen, ob der dort angegebene Wert innerhalb dieser Tabelle liegt.
Betroffen sind die Flash Player 7.0.19.0 und vorherige Versionen. Macromedia empfiehlt betroffenen Nutzern, den Player zügig auf die fehlerbereinigten Versionen 8.0.22.0 beziehungsweise 7.0.60.0 oder 7.0.61.0 zu aktualisieren.
Siehe dazu auch:
* Security Advisory von Macromedia
* Securty Advisory von eEye
* Download von aktualisierten Flashplayern
Quelle und Links :
http://www.heise.de/newsticker/meldung/65814
