Tweet
Een ernstig Flash-lek in honderdduizenden websites geeft aanvallers de mogelijkheid om cookies en logingegevens van gebruikers te stelen, en er is nog geen patch voor het probleem. De kwetsbaarheid bevindt zich in gebruikte Flash applets. Via cross-site scripting is het voor een aanvaller mogelijk om kwaadaardige code te injecteren. Een banksite die bijvoorbeeld voor een bepaalde actie of promotie een kwetsbaar Flash applet draait, helpt aanvallers bij het stelen van de cookies of logingegevens van bezoekers. Een aanvaller moet de gebruiker dan wel eerst een kwaadaardige link laten openen, waarna men het SWF bestand aanroept en de code injecteert.
Het lek is ontdekt door onderzoekers van Google, en beschreven in het boek "Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions". Meer dan 500.000 grote financiële, media en overheidssites zouden kwetsbaar zijn, en Adobe heeft nog altijd geen update uitgebracht.
Een bijkomend probleem is dat veel "Flash authoring" programma's automatisch de kwetsbare content generen, waardoor ontwikkelaars en webmasters handmatig moeten controleren of aanvallers ook bij hen kunnen toeslaan. En dat is weer een probleem op zichzelf, want veel vormgevers werken niet samen met beveiligers.
security.nl
Het lek is ontdekt door onderzoekers van Google, en beschreven in het boek "Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions". Meer dan 500.000 grote financiële, media en overheidssites zouden kwetsbaar zijn, en Adobe heeft nog altijd geen update uitgebracht.
Een bijkomend probleem is dat veel "Flash authoring" programma's automatisch de kwetsbare content generen, waardoor ontwikkelaars en webmasters handmatig moeten controleren of aanvallers ook bij hen kunnen toeslaan. En dat is weer een probleem op zichzelf, want veel vormgevers werken niet samen met beveiligers.
security.nl
Comment