image

Ernstig Flash-lek in honderdduizenden websites

zaterdag 22 december 2007, 12:32 door Redactie, 16 reacties

Een ernstig Flash-lek in honderdduizenden websites geeft aanvallers de mogelijkheid om cookies en logingegevens van gebruikers te stelen, en er is nog geen patch voor het probleem. De kwetsbaarheid bevindt zich in gebruikte Flash applets. Via cross-site scripting is het voor een aanvaller mogelijk om kwaadaardige code te injecteren. Een banksite die bijvoorbeeld voor een bepaalde actie of promotie een kwetsbaar Flash applet draait, helpt aanvallers bij het stelen van de cookies of logingegevens van bezoekers. Een aanvaller moet de gebruiker dan wel eerst een kwaadaardige link laten openen, waarna men het SWF bestand aanroept en de code injecteert.

Het lek is ontdekt door onderzoekers van Google, en beschreven in het boek "Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions". Meer dan 500.000 grote financiële, media en overheidssites zouden kwetsbaar zijn, en Adobe heeft nog altijd geen update uitgebracht.

Een bijkomend probleem is dat veel "Flash authoring" programma's automatisch de kwetsbare content generen, waardoor ontwikkelaars en webmasters handmatig moeten controleren of aanvallers ook bij hen kunnen toeslaan. En dat is weer een probleem op zichzelf, want veel vormgevers werken niet samen met beveiligers.

Reacties (16)
22-12-2007, 15:09 door Anoniem
Gebruik dan Flashblock, en NoScript als extentie voor Firefox.
22-12-2007, 15:45 door spatieman
lekker dan..
gelukkig wordt flash hier door flashblock de nek omgedraait..
22-12-2007, 17:29 door Anoniem
Noscript helpt hier tegen toch?
En zover ik weet is het in Firefox 3.0 gefixed maar ik kan
het fout hebben
22-12-2007, 18:32 door the virusman
hmm doe ook alles in flash maar idd de beveiliging van web content daar
heb ik niet zo heel veel kaas van gegeten, weet iemand een goed
authoring programma om de boel eens na te kijken ?
22-12-2007, 20:17 door wizzkizz
Mijn NoScript houdt flash gelukkig standaard tegen. Alleen
als ik met alle geweld een flash-animatie (of een middels
een flash-player gestreamd filmpje) wil bekijken, geef ik
toestemming, anders nooit.

Ik probeer trouwens sowieso software van Apple en Adobe te
vermijden de laatste tijd, ze zijn niet goed bezig met
betrekking tot veiligheid.
23-12-2007, 01:36 door Anoniem
Alles is lek.
23-12-2007, 11:32 door zeecavia
Betekend dat ik maar beter even niet kan internet bankieren tot het
probleem is verholpen?
23-12-2007, 13:08 door [Account Verwijderd]
[Verwijderd]
23-12-2007, 14:39 door the virusman
of de duvel ermee speelt, gelijk heb ik een probleem met een flash site
als ik http://site.nl kies kan ik een bepaalde site wel bereiken maar typ ik
http://www.site.nl (site is fictief) kan ik deze site niet bereiken ?? iemand
enig idee waar dit aan kan liggen.
23-12-2007, 14:40 door Anoniem
Door zeecavia
Betekend dat ik maar beter even niet kan internet bankieren tot het
probleem is verholpen?
Het gaat om lekken op WEBSITES. De website van je bank gebruikt geen
Flash en heeft dan ook dit lek niet.
23-12-2007, 15:09 door [Account Verwijderd]
[Verwijderd]
23-12-2007, 23:50 door Anoniem
@the virusman.
Als een site niet (meer) te bereiken is onder www. dan gaat
er iets mis op DNS niveau (naamgeving van servers vertaling).
Zelfs als je weet dat er flash content op die site draait
moet die server eerst gevonden worden voor dit gaat spelen.
Daarnaast is een Cross site scripting bedoeld om gegevens te
stelen.
De site niet beschikbaar maken hebben ze helemaal niets aan.
23-12-2007, 23:53 door Anoniem
====================
Betekend dat ik maar beter even niet kan internet bankieren
tot het
probleem is verholpen?
====================

Nee, dat maakt niet uit.
Cross site wordt gebruikt om via siteA toch gegevens van
SIteB uit te kunnen lezen. Dat zou niet moeten kunnen
vanwege wachtwoorden etc.

Internetbankieren kunnen ze hooguit je rekening nummer
achterhalen, als je die had opgeslagen, maar dat is toch al
publiek.
Zelfs als ze het willen gebruiken moet je ervoor zorgen dat
je dus geen SiteB (kwaad aardig) bezoekt. Of je wel of niet
Site A bezoekt maakt weinig uit.
24-12-2007, 01:26 door extranion
Door moppentappers
http://www.postbank.nl/ing/pp/page/home/0,2809,1859_103763,00.html
toch wel flash, ik heb de advisory nog niet gelezen dus weet
niet of dit ook een gevaar vormt, maar toch.
Ik denk dat het alleen om flash bestanden gaat die ook
dynamische content en inlog vensters hebben.
24-12-2007, 09:23 door Anoniem
Door moppentappers
nee, bankier websites gebruiken geen flash
Websites van Banken gebruiken wel degelijk flash, Website van Fortis
bijvoorbeeld crasht als je geen flashplayer geinstalleerd hebt.
24-12-2007, 10:15 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.