Flash Player

Adobe warnt vor kritischer Clickjacking-Schwachstelle

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Adobe hat eine kritische Sicherheitslücke in seinem omnipräsenten "Flash Player" eingeräumt, die sogenanntes Clickjacking ermöglicht.

Beim Clickjacking kann ein Angreifer mit einem für den Nutzer vermeintlich harmlosen Mausklick unbemerkt Mikrofon und Kamera eines Rechners einschalten und "kapern". Besonders gefährdet sind damit unter anderem Besitzer eines Apple-Rechners - der Mac-Hersteller liefert seit einiger Zeit praktisch alle Notebooks und Desktops mit integrierten Mikrofonen und Kameras aus. Die Clickjacking-Schwachstelle findet sich in allen Flash-Player-Versionen bis einschließlich 9.0.124.0.

Adobe hat einem Blog-Posting zufolge bisher noch keinen Patch parat. In einem Security Advisory rät der Hersteller als Workaround vorerst dazu, im "Einstellungsmanager für den Flash Player" die "Globalen Zugriffsschutzeinstellungen" auf "Immer verweigern" zu setzen. Bestimmte Website lassen sich bei Bedarf von der Blockade ausnehmen.

Admins, die den Flash Player zentral verwalten, können in der Einstellungsdatei "mms.cfg" den Wert "AVHardwareDisable" auf "1" setzen. Weitere Details dazu stehen im Adobe Flash Player Configuration Guide.

Adobe will die Clickjacking-Schwachstelle mit einem Update für den Flash Player beheben, das noch vor Ende des Monats erscheinen soll. Nach Angaben von Robert Hansen, der als einer von zwei Sicherheitsexperten das Leck entdeckt hatte, handelt es sich dabei um den Flash Player 10 (Codename "Astro"), der sich derzeit als Release Candidate auf der Adobe-Labs-Seite findet.