Web-Sicherheit

August 11, 2011

Adobe unterschlägt angeblich 400 Lücken im Flash-Player

Filed under: Allgemein — sebastiankuebeck @ 15:24
Tags: , , , , ,

Sicherheitsspezialist Tavis Ormandy will 400 Sicherheitslücken in Adobes Flash-Player gefunden haben. Nun kritisiert er den Hersteller, der diese zwar geschlossen hat, sie aber im offiziellen Fehlerbericht nicht erwähnt hat.

Ormandy will nach eigenen Angaben einen eigenen Fehlerbericht in Kürze veröffentlichen. Ormandy ist kein Unbekannter; er deckt regelmäßig kritische Lücken in Software auf und legte sich etwa im vergangenen Jahr mit Microsoft an.

Warum Adobe nur 13 Lücken erwähnt und die restlichen nicht offiziell dokumentiert, ist noch unklar. Ein Grund könnte die Kooperation zwischen Google und Adobe bei der Fehlersuche im Flash Player sein. Die in diesem Rahmen aufgedeckten Fehler werden vermutlich als intern entdeckte Fehler behandelt – und diese werden laut Richtlinie von Adobe nicht in offiziellen Berichten explizit erwähnt. Ähnlich geht auch Microsoft mit intern gefundenen Lücken um.

Die Chance ist jetzt natürlich groß, dass der Ormandy seine Entdeckungen künftig an einen professionellen Schwachstellen-Verwerter verkauft, also einer Firma, die für Sicherheitslücken zahlt und diese dann an Hersteller weiterverkauft. Dann müssten die Hersteller für etwas bezahlen, was sie jetzt gratis bekommen.
Die enorme Anzahl an Schwachstellen und die relativ mechanische Art, mit der die Schwachstellen gefunden wurden (Ormandy benutzte ein Fuzzing-Werkzeug, das ist ein Programm, das nichts anderes macht als zufällige Daten zu generieren und darauf zu achten, ob das zu testende Programm abstürzt, wenn man es mit dem Datensalat füttert, oder nicht) deuten darauf hin, dass Adobe den Flash-Player noch nie wirklich auf Sicherheit getestet hat. Womit das beliebteste Vorurteil der IT-Sicherheitsbranche, nämlich das der Benutzer an allem Schuld ist, eindrucksvoll widerlegt wäre…

2 Kommentare »

  1. Im Jahr 2008 wurde gezeigt, dass PDF prinzipielle eine turingmächtige Sprache ist,
    im Frühjahr 2010 hat jemand explizit einen Lambda-Ausdruck in formuliert, der zumindest in Acrobat Reader bis 9.xx ausgewertet werden konnte.

    Daher läßt sich praktisch beliebiger Code in PDF-Dateien unterbringen. DIeser Code wird praktisch immer mit den Rechten des Benutzers ausgeführt, eine effektive Beschränkung der Rechte des Adobe-Readers wird nur SEHR SEHR SELTen überhaupt angestrebt.

    Damit kann man nicht mehr von einzelnen Sicherheitslücken sprechen, das gesamte Konzept ist eine einzige Lücke.

    mfg HA

    Kommentar von Hans Adams — August 12, 2011 @ 11:16 | Antwort

  2. […] einer Woche behauptete der Sicherheitsspezialist Tavis Ormandy will 400 Sicherheitslücken in Adobes Flash-Player gefunden […]

    Pingback von Laut Adobe wurden keine Flash-Player-Lücken unterschlagen « Web-Sicherheit — August 19, 2011 @ 09:56 | Antwort


RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: