beveiligingsonderzoeker Billy Rios heeft een manier gedemonstreerd om de sandbox-beveiliging van Flash te omzeilen, waardoor de mediaspeler toch toegang tot lokale bestanden krijgt. Een aantal weken geleden liet Rios zien hoe via een aantal kleine lekken het toch mogelijk is om gegevens te stelen. In de proof-of-concept die hij online zette, was er ook een Flash-bestand dat de inhoud van de computer doorstuurde naar de aanvaller.

Flash beschikt over een "local-with-filesystem sandbox" die juist moet voorkomen dat Flash-bestanden geladen van het lokale bestandssysteem, gegevens naar een remote systeem kunnen sturen. Volgens Rios beschikt de sandbox wel over verschillende maatregelen om communicatie met de buitenwereld te voorkomen, maar dekken die niet alle mogelijkheden af. Zo is de makkelijkste manier om de sandbox te omzeilen het gebruik van een file:// request.

Blacklist
Het is echter alleen mogelijk om informatie naar IP-adressen en hostnames op het lokale netwerk te sturen. Adobe gebruikt een protocol handler blacklists om netwerktoegang naar buiten te voorkomen. Rios merkt op dat het gebruik van blacklists riskant is. "Als we een protocol handler voor netwerkcommunicatie kunnen vinden die nog niet door Adobe is geblacklist, winnen we."

En die blijken er inderdaad te zijn. "Er zijn hier twee lessen te leren. Ten eerste dat het draaien van onbetrouwbare code, of het nu een executable, JavaScript of zelfs een Flash-bestand is, gevaarlijk is. Ten tweede zijn protocol handler blacklists een slecht idee."