De kwetsbare advertenties draaien op uiteenlopende websites. Van online-casino's en sportsites tot banken en nieuwssites. Het ontdekte lek in veel Flash-ads maakt xss-aanvallen (cross-site scripting) mogelijk, waardoor login-informatie van surfers buitgemaakt kan worden. Standaard tegenmaatregelen voor xss-aanvallen kunnen het lek afschermen, maar dan moet die bescherming er wel zijn. Dat is voor veel sites niet het geval.

Clicks tellen

De oorzaak zit in Actionscript-code die wordt gebruikt voor het tellen van clicks op de Flash-advertenties. Volgens de Oekraïense security-onderzoeker die het lek heeft ontdekt, valt de foute code simpelweg te Googelen. Daarmee komt hij op een telling van minstens 8 miljoen kwetsbare Flash-banners die.

Hij meldt ook dat die foute Actionscript-code niet alleen veel wordt gebruikt, maar dat het gebruik de afgelopen paar jaar exponentieel is toegenomen. De lekke code is namelijk dusdanig standaard dat het ook zit in veel voorbeelden, en instructies en adviezen voor developers.

Ingebakken lek

Deze kwetsbaarheden zijn dan ook al ingebakken in veel online bannersystemen. Dat geldt voor zowel lokale als voor wereldwijde systemen. De ontdekker noemt phpAdsNew, OpenAds en OpenX als gecheckte - en kwetsbaar bevonden - voorbeelden. De laatstgenoemde adserver blijkt zelf ook enkele lekken te bevatten, die nu in combinatie worden misbruikt om via advertentienetwerken malafide Flash-advertenties te distribueren.

De IDG News Service meldt diverse veelbezochte websites de afgelopen week al zijn voorzien van Flash-ads die kwaadaardige code bevatten. Onder meer filmrecensiesite Ain't It Cool News en online-stripuitgever King Features zijn langs deze weg al te grazen genomen. Laatstgenoemde bedient met zijn Comics Kingdom ongeveer 50 websites, die daarmee dus kwetsbaar zijn.

King heeft de adserver offline gehaald en wacht nu op patches. OpenX meldt aan de IDG News Service dat het niet op de hoogte is van grote gaten in de huidige versie 2.8.2 van zijn software. Op het forum van de open source-adserver stellen gebruikers dat de nieuwste versie wel degelijk kwetsbaar is voor deze hackaanval.

Zero-day Adobe

De via OpenX gedistribueerde Flash-malware gebruikt onder meer het meest recente zero-day gat in die Adobe-software. Dat gat is vorige week ontdekt. Softwareleverancier Adobe werkt aan een patch en brengt die halverwege komende maand uit in zijn volgende geplande patchronde. Het eerder uitbrengen van deze patch zou andere patches in het gedrang brengen, verklaart Adobe. De OpenX-hackers gebruiken ook nog andere exploits voor Flash, meldt securitybedrijf Praetorian.