Der Sicherheitsfirma Qihoo 360 zufolge wird der aktuelle Flash-Exploit mit der Kennung CVE-2018-5002 über nachgeladene Flash-Elemente in einem Office-Dokument verbreitet und nutzt einen Stack-basierten Buffer Overflow aus. Dabei werden die aktiven Inhalte von der Domain people.doohabayt.com geladen.

Die Flash-Module werden allerdings nicht im Dokument selbst untergebracht, wo es von einem Antivirusprogramm einfacher entdeckt werden könnte, sondern die Inhalte werden aus der Ferne nachgeladen. In einem Blog heißt es, dass es XML-Wrapper sind, die Active X-Elemente und OLE-Objekte laden. Der eigentliche Exploit-Code wird dabei bei der Übertragung auf den Rechner verschlüsselt, um die Erkennung zu erschweren.

Flash-Inhalte in Office 2016 sollen laut Microsoft geblockt werden. Zu anderen Versionen macht das Unternehmen keine Angaben. Die aktuellste Version von Flash ist 30.0.0.113.

(pp, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE