Nieuws
image

Adobe Flash policy bedreigt internetgebruikers

vrijdag 13 november 2009, 11:21 door Redactie, 6 reacties

Een beveiligingsonderzoeker heeft een manier gevonden om misbruik te maken van hoe browsers met Adobe Flash objecten omgaan en een oplossing van Adobe is in nog geen velden of wegen te bekennen. De kwetsbaarheid bevindt zich in de same-origin policy van Adobe Flash en zorgt ervoor dat elke site die user generated content toestaat, is aan te vallen. Een aanvaller zou wat lijkt op een afbeelding, op een sociale netwerksite kunnen plaatsen, terwijl het in werkelijkheid een Flash bestand is dat kwaadaardige code in de browser uitvoert. Iedereen die het bestand opent wordt gehackt, aldus Mike Murray, CISO bij Foreground Security.

"Het beangstigende is dat 99% van de internetgebruikers Flash gebruikt. Bijna iedereen op het internet is kwetsbaar voor een website die toestaat om content op de verkeerde manier te uploaden. Dat is niet overdreven, dat is gewoon een feit", gaat Murray verder. "Adobe moet de manier waarop Flash Player met de security policy omgaat aanpassen, zodat het niet toestaat dat willekeurige content zonder toestemming de applicatie kan benaderen", gaat onderzoeker Mike Bailey verder. Standaard vertrouwt de Flash Player namelijk alles. "Het zou alleen moeten toestaan wat vertrouwd is."

NoScript
Voor zover bekend is de techniek nog niet door aanvallers in het "wild" gebruikt. Dat neemt niet weg dat een gigantisch aantal websites kwetsbaar is. Gmail was lange tijd voor deze aanval kwetsbaar, waarbij een aanvaller via Cross Site Request Forgery (CSRF) het kwaadaardige Flash object in de browser kon laden. "Hoewel het Gmail team het eindelijk na 3 jaar van aanvallen door mensen heeft verholpen, is het in theorie nog steeds mogelijk om de Flash aanval uit te voeren, maar dit is enorm lastig om te doen."

Adobe zou al geruime tijd van het probleem op de hoogte zijn, maar zegt dit niet te kunnen oplossen zonder dat er allerlei Flash content en applicaties stuk gaan. In de tussentijd adviseert de onderzoeker om Flash helemaal uit te schakelen of de Firefox NoScript extensie te gebruiken. Webmasters doen er verstandig aan om alle content van gebruikers van een compleet verschillend domein te laden. "De meeste ideale oplossing is dat Adobe een verstandigere origin policy voor Flash objecten implementeert." Maar gezien de reactie van Adobe is dat zeer onwaarschijnlijk.

Reacties (6)
13-11-2009, 11:47 door Anoniem
In de tussentijd adviseert de onderzoeker om Flash helemaal uit te schakelen

Dat hoor je wel vaak de laatste tijd. Ik zou mijn visie er eens neer zetten.

In de tussentijd adviseert de onderzoeker om Adobe software helemaal uit te wissen
13-11-2009, 14:22 door spatieman
ja, maar dan werkt 99% van een site niet meer als je pech hebt.
13-11-2009, 14:24 door Anoniem
Door spatieman: ja, maar dan werkt 99% van een site niet meer als je pech hebt.
vooral als een site voor 99% uit reclame bestaat :)
13-11-2009, 16:37 door U4iA
Door Anoniem: vooral als een site voor 99% uit reclame bestaat :)
Daarvoor gebruik je AdBlock (Plus) toch?!?
14-11-2009, 12:11 door Anoniem
ClickToFlash voorkomt dat ik uberhaupt nog flash hoef te openen.
Youtube video's worden netjes omgezet naar h264, en de rest van flash is het openen niet waard.
Het enige wat mij tegen de borst stuit is dat ik een browser plugin nodig heb om een browser plugin te omzeilen.
Het wordt tijd voor HTML5/CSS3.
23-11-2009, 15:01 door Anoniem
Door U4iA:
Door Anoniem: vooral als een site voor 99% uit reclame bestaat :)
Daarvoor gebruik je AdBlock (Plus) toch?!?
Slimme opmerking hoor. Dan werkt die site gewoon niet, juist vanwege die reclame. Effe nadenke. Ik heb Flash er gewoon af geflikkerd. Maar ja, ik ben ook een beetje dom en gebruik IE8, nietwaar? Ik blijf dat toch maar gebruiken, ik heb geen last van rotzooi, ook al moet ik Flash missen. Dan moeten de webbouwers maar eens gaan beginnen met Flash links te laten liggen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search