Ernstig Flash-lek in honderdduizenden websites
Een ernstig Flash-lek in honderdduizenden websites geeft aanvallers de mogelijkheid om cookies en logingegevens van gebruikers te stelen, en er is nog geen patch voor het probleem. De kwetsbaarheid bevindt zich in gebruikte Flash applets. Via cross-site scripting is het voor een aanvaller mogelijk om kwaadaardige code te injecteren. Een banksite die bijvoorbeeld voor een bepaalde actie of promotie een kwetsbaar Flash applet draait, helpt aanvallers bij het stelen van de cookies of logingegevens van bezoekers. Een aanvaller moet de gebruiker dan wel eerst een kwaadaardige link laten openen, waarna men het SWF bestand aanroept en de code injecteert.
Het lek is ontdekt door onderzoekers van Google, en beschreven in het boek "Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions". Meer dan 500.000 grote financiële, media en overheidssites zouden kwetsbaar zijn, en Adobe heeft nog altijd geen update uitgebracht.
Een bijkomend probleem is dat veel "Flash authoring" programma's automatisch de kwetsbare content generen, waardoor ontwikkelaars en webmasters handmatig moeten controleren of aanvallers ook bij hen kunnen toeslaan. En dat is weer een probleem op zichzelf, want veel vormgevers werken niet samen met beveiligers.
gelukkig wordt flash hier door flashblock de nek omgedraait..
En zover ik weet is het in Firefox 3.0 gefixed maar ik kan
het fout hebben
heb ik niet zo heel veel kaas van gegeten, weet iemand een goed
authoring programma om de boel eens na te kijken ?
als ik met alle geweld een flash-animatie (of een middels
een flash-player gestreamd filmpje) wil bekijken, geef ik
toestemming, anders nooit.
Ik probeer trouwens sowieso software van Apple en Adobe te
vermijden de laatste tijd, ze zijn niet goed bezig met
betrekking tot veiligheid.
probleem is verholpen?
als ik http://site.nl kies kan ik een bepaalde site wel bereiken maar typ ik
http://www.site.nl (site is fictief) kan ik deze site niet bereiken ?? iemand
enig idee waar dit aan kan liggen.
Betekend dat ik maar beter even niet kan internet bankieren tot het
probleem is verholpen?
Flash en heeft dan ook dit lek niet.
Als een site niet (meer) te bereiken is onder www. dan gaat
er iets mis op DNS niveau (naamgeving van servers vertaling).
Zelfs als je weet dat er flash content op die site draait
moet die server eerst gevonden worden voor dit gaat spelen.
Daarnaast is een Cross site scripting bedoeld om gegevens te
stelen.
De site niet beschikbaar maken hebben ze helemaal niets aan.
Betekend dat ik maar beter even niet kan internet bankieren
tot het
probleem is verholpen?
====================
Nee, dat maakt niet uit.
Cross site wordt gebruikt om via siteA toch gegevens van
SIteB uit te kunnen lezen. Dat zou niet moeten kunnen
vanwege wachtwoorden etc.
Internetbankieren kunnen ze hooguit je rekening nummer
achterhalen, als je die had opgeslagen, maar dat is toch al
publiek.
Zelfs als ze het willen gebruiken moet je ervoor zorgen dat
je dus geen SiteB (kwaad aardig) bezoekt. Of je wel of niet
Site A bezoekt maakt weinig uit.
http://www.postbank.nl/ing/pp/page/home/0,2809,1859_103763,00.html
toch wel flash, ik heb de advisory nog niet gelezen dus weet
niet of dit ook een gevaar vormt, maar toch.
dynamische content en inlog vensters hebben.
nee, bankier websites gebruiken geen flash
bijvoorbeeld crasht als je geen flashplayer geinstalleerd hebt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!