Nieuws

Ernstig Flash-lek in honderdduizenden websites

zaterdag 22 december 2007, 12:32 door Redactie, 16 reacties

Een ernstig Flash-lek in honderdduizenden websites geeft aanvallers de mogelijkheid om cookies en logingegevens van gebruikers te stelen, en er is nog geen patch voor het probleem. De kwetsbaarheid bevindt zich in gebruikte Flash applets. Via cross-site scripting is het voor een aanvaller mogelijk om kwaadaardige code te injecteren. Een banksite die bijvoorbeeld voor een bepaalde actie of promotie een kwetsbaar Flash applet draait, helpt aanvallers bij het stelen van de cookies of logingegevens van bezoekers. Een aanvaller moet de gebruiker dan wel eerst een kwaadaardige link laten openen, waarna men het SWF bestand aanroept en de code injecteert.

Het lek is ontdekt door onderzoekers van Google, en beschreven in het boek "Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions". Meer dan 500.000 grote financiële, media en overheidssites zouden kwetsbaar zijn, en Adobe heeft nog altijd geen update uitgebracht.

Een bijkomend probleem is dat veel "Flash authoring" programma's automatisch de kwetsbare content generen, waardoor ontwikkelaars en webmasters handmatig moeten controleren of aanvallers ook bij hen kunnen toeslaan. En dat is weer een probleem op zichzelf, want veel vormgevers werken niet samen met beveiligers.

Geinfecteerde Storm kerstkaarten massaal verspreid

FBI bouwt grootste biometrische database ter wereld

Reacties (16)

22-12-2007, 15:09 door Anoniem

Gebruik dan Flashblock, en NoScript als extentie voor Firefox.

22-12-2007, 15:45 door spatieman

lekker dan..
gelukkig wordt flash hier door flashblock de nek omgedraait..

22-12-2007, 17:29 door Anoniem

Noscript helpt hier tegen toch?
En zover ik weet is het in Firefox 3.0 gefixed maar ik kan
het fout hebben

22-12-2007, 18:32 door the virusman

hmm doe ook alles in flash maar idd de beveiliging van web content daar
heb ik niet zo heel veel kaas van gegeten, weet iemand een goed
authoring programma om de boel eens na te kijken ?

22-12-2007, 20:17 door wizzkizz

Mijn NoScript houdt flash gelukkig standaard tegen. Alleen
als ik met alle geweld een flash-animatie (of een middels
een flash-player gestreamd filmpje) wil bekijken, geef ik
toestemming, anders nooit.

Ik probeer trouwens sowieso software van Apple en Adobe te
vermijden de laatste tijd, ze zijn niet goed bezig met
betrekking tot veiligheid.

23-12-2007, 01:36 door Anoniem

Alles is lek.

23-12-2007, 11:32 door zeecavia

Betekend dat ik maar beter even niet kan internet bankieren tot het
probleem is verholpen?

23-12-2007, 13:08 door [Account Verwijderd]

[Verwijderd]

23-12-2007, 14:39 door the virusman

of de duvel ermee speelt, gelijk heb ik een probleem met een flash site
als ik http://site.nl kies kan ik een bepaalde site wel bereiken maar typ ik
http://www.site.nl (site is fictief) kan ik deze site niet bereiken ?? iemand
enig idee waar dit aan kan liggen.

23-12-2007, 14:40 door Anoniem

Door zeecavia
Betekend dat ik maar beter even niet kan internet bankieren tot het
probleem is verholpen?

Het gaat om lekken op WEBSITES. De website van je bank gebruikt geen
Flash en heeft dan ook dit lek niet.

23-12-2007, 15:09 door [Account Verwijderd]

[Verwijderd]

23-12-2007, 23:50 door Anoniem

@the virusman.
Als een site niet (meer) te bereiken is onder www. dan gaat
er iets mis op DNS niveau (naamgeving van servers vertaling).
Zelfs als je weet dat er flash content op die site draait
moet die server eerst gevonden worden voor dit gaat spelen.
Daarnaast is een Cross site scripting bedoeld om gegevens te
stelen.
De site niet beschikbaar maken hebben ze helemaal niets aan.

23-12-2007, 23:53 door Anoniem

====================
Betekend dat ik maar beter even niet kan internet bankieren
tot het
probleem is verholpen?
====================

Nee, dat maakt niet uit.
Cross site wordt gebruikt om via siteA toch gegevens van
SIteB uit te kunnen lezen. Dat zou niet moeten kunnen
vanwege wachtwoorden etc.

Internetbankieren kunnen ze hooguit je rekening nummer
achterhalen, als je die had opgeslagen, maar dat is toch al
publiek.
Zelfs als ze het willen gebruiken moet je ervoor zorgen dat
je dus geen SiteB (kwaad aardig) bezoekt. Of je wel of niet
Site A bezoekt maakt weinig uit.

24-12-2007, 01:26 door extranion

Door moppentappers
http://www.postbank.nl/ing/pp/page/home/0,2809,1859_103763,00.html
toch wel flash, ik heb de advisory nog niet gelezen dus weet
niet of dit ook een gevaar vormt, maar toch.

Ik denk dat het alleen om flash bestanden gaat die ook
dynamische content en inlog vensters hebben.

24-12-2007, 09:23 door Anoniem

Door moppentappers
nee, bankier websites gebruiken geen flash

Websites van Banken gebruiken wel degelijk flash, Website van Fortis
bijvoorbeeld crasht als je geen flashplayer geinstalleerd hebt.

24-12-2007, 10:15 door [Account Verwijderd]

[Verwijderd]

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer