Overslaan en naar de inhoud gaan

Zelfs Google en Salesforce in de fout met patchen oud Flash-lek

Dat melden Luca Carettoni van LinkedIn en Mauro Gentile van Minded Security. Ze deden hun ontdekking bij onderzoek naar methoden om via Flash het Same Origin Policy-mechanisme te omzeilen. Dat mechanisme moet voorkomen dat inhoud van de ene website mee te lezen op of wijzigingen aan te brengen op een andere website. Langs die weg kunnen hackers namelijk - bijvoorbeeld met en verborgen iFrame - inloggegevens van hun doelwit bemachtigen.
Business
Shutterstock
Shutterstock

In november 2011 werd een kwetsbaarheid in Adobes Flex Software Development Kit ontdekt die dat probleem in de hand werkte. Daar zat een vervelende bijkomstigheid bij: niet alleen de Flex SDK was kwetsbaar, ook alle webgebaseerde Flash-applicaties die gecompileerd waren met Flex 3.x en een aantal die gecompileerd waren met Flex 4.5 waren besmet met het lek. Deze SWF-bestanden dienden dus allemaal gerepareerd te worden.

Ook prominente sites in gebreke

Tijdens hun onderzoek merkten Carettoni en Gentile op, dat dat niet overal gebeurd is. En dat dan niet bij de eerste de beste. Ze vonden nog lekke SWF-bestanden aan bij onder andere Google, Yahoo, Salesforce en Adobe zelf. Hoe de situatie is bij minder prominente sites is onduidelijk, dat is niet onderzocht. Maar het belooft niet veel goeds als zelf de prominenten op internet in gebreke zijn gebleven.

Het is niet vreselijk moeilijk om die ongepatchte SWF-bestanden te vinden, daar zijn tools voor. Dat maakt het makkelijker voor hackers om ze te misbruiken. Maar een internetter zal er niet helemaal willoos slachtoffer van zijn: je moet eerst wel verleid worden een kwaadaardige website te bezoeken, wil en hacker zijn slag kunnen slaan. Maar het is natuurlijk wel altijd een risico waar je op bedacht moet zijn.

Carettoni en Gentile hebben de door hu ontdekte in gebreke gebleven webmasters gewaarschuwd, en roepen iedereen op alert te zijn op dit probleem en het bij eigenaren van websites te melden. Die moeten dan de patch aanbrengen met het tool dat Adobe in 2011 uitbracht, of de Flash-webapplicatie hercompileren met een nieuwere versie van de Flex SDK. Meer informatie is te vinden in hun blog; zoals ze daar ook melden, is er op github een tool beschikbaar om je website op voor dit lek ongepatchte SWF-bestanden te controleren.

Gerelateerde artikelen
Gerelateerde artikelen

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in