Web-Sicherheit

August 19, 2011

Laut Adobe wurden keine Flash-Player-Lücken unterschlagen

Filed under: Allgemein — sebastiankuebeck @ 09:56
Tags: , , , , , ,

Vor einer Woche behauptete der Sicherheitsspezialist Tavis Ormandy will 400 Sicherheitslücken in Adobes Flash-Player gefunden haben. Daraufhin kritisierte er Adobe dafür, die Lücken zwar geschlossen zu haben, ihn (Ormandy) aber nicht im offiziellen Fehlerbericht erwähnt zu haben.
Nun nimmt Brad Arkin, Sicherheitsbeauftragter von Adobe in einem Blog-Post zu den Vorwürfen Stellung. Laut Arkin hätten sich die 400 Schwachstellen auf insgesamt 104 Fehler reduzieren lassen. Da die Fehler im Zuge der Kooperation mit Google aufgedeckt worden sind, würden sie als interne Fehler behandelt und daher nicht extra ausgewiesen. Adobe hat den Bericht nun aktualisiert, in dem alle Fehler zusammengefasst werden und hat Ormandy explizit an erster Stelle genannt.

Damit hat Adobe auch indirekt zugegeben, die Software niemals selber mit Fuzzing-Werkzeugen getestet zu haben, obwohl diese Technik schon seit Jahren von Hackern und Autoren von Schadsoftware intensiv genutzt wird. So wurde beispielsweise in das Sicherheitsunternehmen RSA Security unter Ausnutzung einer Schwachstelle im Flash-Player eingebrochen. Die Angreifer stahlen dabei die Schlüssel des populären Authentifizierungssystems SecurID und verwendeten diese um bei Lockheed-Martin und anderen US-Rüstungsunternehmen einzubrechen. Schlussendlich musste RSA Security 40 Millionen SecureID-Tokens austauschen.

Schreibe einen Kommentar »

Es gibt noch keine Kommentare.

RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: