Security-Experten von Google warnen vor gefährlichen Sicherheitslücken in Flash-Applets. Im Rahmen einer Untersuchung entdeckten sie zusammen mit Mitarbeitern der Security-Firma iSEC nach eigenen Angaben auf öffentlichen Webseiten sage und schreibe mehr als 500.000 Flash-Dateien, die anfällig für bestimmte Cross-Site-Scripting-Attacken (XSS) sind. Gegen die entdeckten Gefahren biete auch das jüngste Sicherheits-Update von Adobes Flash-Player keinen Schutz, erklärten die Forscher. Derlei Flash-Dateien fanden sie unter anderem auf Regierungs- und Online-Banking-Websites.
Details veröffentlicht die Gruppe in ihrem Buch "Hacking Exposed Web 2.0", das im Januar 2008 in den USA erscheinen wird. Der alarmierende Inhalt kursiert dem britischen IT-Newsdienst The Register zufolge allerdings längst in den Sicherheitsabteilungen von Unternehmen. Adobe sei bereits im Sommer 2007 über die Rechercheergebnisse informiert worden.
Die Autoren weisen darauf hin, dass Security-Patches für den Flash-Client keine Lösung für die Probleme bringen können: Der Schadcode werde von vielen gängigen Flash-Tools bereits beim Erstellen generiert, darunter DreamWeaver, Connect, Breeze und Camtasia. Er ermögliche, dass beim Ausführen von SWF-Dateien über einen manipulierten Link mit bestimmten Variablen beispielsweise entfernte Cookies ausgelesen oder Logindaten ausgespäht werden können.
quelle: heise
