Honderdduizenden websites kwetsbaar door lek Flash
Gepubliceerd: Maandag 24 december 2007
Auteur: Michiel van Blommestein
Onderzoekers hebben zeer ernstige kwetsbaarheden gevonden in Adobe Flash waardoor 'honderdduizenden' websites vatbaar zijn voor gegevensdiefstal.
Dat schrijft The Register op basis van het nog uit te komen Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions. Dat boek is geschreven door onderzoekers van Google en beveiligingsbedrijf iSEC Partners.
De kwetsbaarheden maken het via XSS mogelijk om code in de Flash SWF applets te injecteren. Daarmee kunnen aanvallers logingegevens stelen, mits ze bezoekers naar bijvoorbeeld een malafide website hebben gelokt. De recente patch van Adobe verhelpt dit probleem niet. Meer dan 500.000 websites zouden volgens de schrijvers kwetsbaar zijn.
Wat bestrijding extra moeilijk maakt is dat de kwetsbaarheden per applet apart worden gegenereerd. Alex Stamos, een van de schrijvers van het boek, zegt tegen The Register dat een patch om de SWF'jes te dichten daarom waarschijnlijk de lading niet gaat dekken. Hetzelfde geldt voor een eventuele patch voor Flash Player. Beheerders moeten per applet handmatig nagaan of de bug erin zit of niet, ook nadat een fix is uitgegeven, zo zegt Stamos.
Adobe zegt bezig te zijn met het probleem. In de tussentijd kan het gevaar tijdelijk worden geweken door Flash uit te schakelen, bijvoorbeeld met NoScript.
Bron: Techworld
