Flash Player

Die Schwachstelle steckt in der Firefox-Sandbox von Adobe Flash Player – jenem Schutzmechanismus, der eingebettete Flash-Inhalte im Browser vom restlichen System abschotten soll. Aufgrund falsch gesetzter Standardberechtigungen schränkt diese Sandbox die Rechte des Flash-Prozesses nicht korrekt ein und kapselt ihn damit nicht so wirksam ab wie vorgesehen. Ein Angreifer kann das ausnutzen, indem er eine präparierte SWF-Datei – also speziell gebauten Flash-Inhalt – bereitstellt; ruft das Opfer diesen etwa über eine Webseite ab, lässt sich beliebiger Code auf dem System ausführen. Der Angriff ist aus der Ferne möglich und benötigt lediglich, dass der Nutzer den manipulierten Inhalt öffnet. Betroffen ist Flash Player im Zusammenspiel mit Firefox auf Windows, macOS und Linux. Die Lücke wurde bereits aktiv für Angriffe missbraucht, was ihre praktische Ausnutzbarkeit belegt.