Mededeling

Collapse
No announcement yet.

Ernstig Flash-lek in honderdduizenden websites

Collapse
X
  •  
  • Tijd
  • Show
Clear All
new posts

  • Ernstig Flash-lek in honderdduizenden websites

    Een ernstig Flash-lek in honderdduizenden websites geeft aanvallers de mogelijkheid om cookies en logingegevens van gebruikers te stelen, en er is nog geen patch voor het probleem. De kwetsbaarheid bevindt zich in gebruikte Flash applets. Via cross-site scripting is het voor een aanvaller mogelijk om kwaadaardige code te injecteren. Een banksite die bijvoorbeeld voor een bepaalde actie of promotie een kwetsbaar Flash applet draait, helpt aanvallers bij het stelen van de cookies of logingegevens van bezoekers. Een aanvaller moet de gebruiker dan wel eerst een kwaadaardige link laten openen, waarna men het SWF bestand aanroept en de code injecteert.

    Het lek is ontdekt door onderzoekers van Google, en beschreven in het boek "Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions". Meer dan 500.000 grote financiële, media en overheidssites zouden kwetsbaar zijn, en Adobe heeft nog altijd geen update uitgebracht.

    Een bijkomend probleem is dat veel "Flash authoring" programma's automatisch de kwetsbare content generen, waardoor ontwikkelaars en webmasters handmatig moeten controleren of aanvallers ook bij hen kunnen toeslaan. En dat is weer een probleem op zichzelf, want veel vormgevers werken niet samen met beveiligers.

    security.nl


  • #2
    Adobe gaat Flash-lek in honderdduizenden sites patchen

    Adobe zal het ernstige Flash-lek dat in honderdduizenden websites aanwezig is, en aanvallers de mogelijkheid geeft om logingegevens van bezoekers te stelen, binnenkort patchen. De kwetsbaarheid bevindt zich in gebruikte Flash applets, en werd ontdekt door onderzoekers van Google. Die beschreven de problemen in detail in het boek "Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions", maar meer details zijn hier te vinden.

    Halverwege december kwam Adobe al met een gedeeltelijke oplossing, en het hoopt in januari de rest van het probleem te verhelpen. Ontwikkelaars die Flash bestanden op een veilige manier willen programmeren wordt aangeraden om deze handleiding en libraries te gebruiken. Adobe gebruikt zelf ook deze richtlijnen voor het maken van SWF templates.

    Beveiligingsonderzoeker Robert Hansen werd door Adobe persoonlijke gebeld en kreeg de update, die het bedrijf stuurde naar mensen die zich over de kwetsbaarheid zorgen maakte.

    Security.NL
    Wie een zonnetje brengt in het leven van een ander.
    Wordt er zelf ook door verwarmd


    Comment

    Sorry, you are not authorized to view this page
    Working...
    X
    😀
    🥰
    🤢
    😎
    😡
    👍
    👎