Flash Player

Die Schwachstelle steckt im Adobe Flash Player, einem weit verbreiteten Browser-Plugin zur Wiedergabe von Flash-Inhalten. Es handelt sich um eine Cross-Site-Scripting-Lücke (XSS), genauer um eine sogenannte Universal-XSS-Variante (UXSS): Dabei lässt sich die Beschränkung umgehen, die normalerweise dafür sorgt, dass Inhalte einer Website nicht auf andere Websites zugreifen können. Ein entfernter Angreifer kann dadurch beliebigen Web-Skriptcode oder HTML in den Kontext fremder Seiten einschleusen und im Browser des Opfers ausführen lassen. So lassen sich etwa Sitzungsdaten oder Eingaben abgreifen, Seiteninhalte manipulieren oder Aktionen im Namen des Nutzers auslösen. Die genauen Angriffswege sind nicht näher beschrieben. Betroffen sind die Player-Versionen für Windows, Mac OS X, Linux und Solaris sowie die Android-Ausgaben. Die Lücke wurde bereits aktiv für Angriffe ausgenutzt.