Flash-nettsteder kan kapres

Flash-nettsteder kan kapres

Nesten hele internett i faresonen av et ikke-lappbart Flash-hull.

Hackere kan kapre nesten hver eneste nettside som lar brukere laste opp innhold, deriblant mye brukte sider som Gmail. Årsaken er en feil i Adobe Flash, ifølge sikkerhetsforskere fra Foreground Security.

- Dette har potensial til å påvirke enhver sosial nettverksside, karriereside, nettsjekking-side, mange netthandler og mange nettskyapplikasjoner, sier Mike Murray i selskapet til Computerworlds internasjonale nyhetstjeneste.

- Dette er ekstremt viktig. De fleste sider er ikke konfigurert slik at de kan unngå dette.

- Skremmende

Problemet ligger i Flash Actionscripts «samme-steds»-policy, som er laget for å begrense Flash-applikasjonens adgang til innhold innen domenet Flash-applikasjonen ligger på. Om en hacker har mulighet til å laste opp filer, kan vedkommende laste opp en ondsinnet Flash-applikasjon som lar dem kjøre ondsinnet kode fra domenenavnet, ifølge forskerne.

- Det er en skremmende og fryktelig. Hvor mange nettsider lar brukere laste opp filer? Hvor mange av disse sidene deler filene videre med brukere av samme domene? Nesten alle er sårbare, sier senior sikkerhetsforsker Mike Bailey.

Enkelt

Han demonstrerer angrepet på selskapets blogg.

- Det er ganske enkelt. Alt de trenger å gjøre er å skape en ondsinnet Flash-applikasjon og laste den opp.

Så om angriperne for eksempel laster opp et bilde av seg selv til et forum, vil alle som beskuer bildet være i fare.

Adobe selv, selskapet bak Flash, avviser ikke påstandene, men sier at web-designere og administratorer har et ansvar om å forebygge slike angrep. Selskapet har fortalt Murray og Bailey at sårbarheten ikke lar seg lappe.

- Vi ser dette som et generelt problem som påvirker enhver side som tillater aktive skript, ikke bare Flash, men også ting som Javascript og Silverlight, sier Brad Arkin fra Adobe.

Hvordan kan nettsider sikre seg? Les mer på neste side!

Utvikling