66526

Anfällige SWF-Dateien erlauben das Ausspähen persönlicher Daten

28.12.2007 | 14:43 Uhr |

Ein kürzlich fertig gestelltes Buch enthält die Beschreibung einer Schwachstelle in Flash-Dateien, über die ein Angreifer potenziell vertrauliche Daten ausspionieren kann. Etliche 100.000 im Web gefundene SWF-Dateien sollen betroffen sein.

Sicherheitsforscher von Google und des Sicherheitsunternehmens iSEC haben im Web mehrere 100.000 Flash-Dateien entdeckt, die über einen XSS-Angriff (Cross-Site Scripting) ausgenutzt werden könnten, um persönliche Daten von Besuchern der jeweiligen Website auszuspähen. Derart anfällige SWF-Dateien (Shockwave Flash) finden sich auch auf den Websites von Banken, Behörden und diversen anderen Unternehmen und Organisationen. Ein Sicherheits-Update, das die Ausnutzung dieser Schwachstellen unterbinden könnte, ist derzeit nicht verfügbar.

In dem Buch "Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions" von
Rich Cannings (Google), Himanshu Dwivedi und Zane Lackey (beide iSEC), das in diesem Monat erscheinen ist, beschreiben die Autoren, wie anfällige Flash-Dateien zur Datenspionage ausgenutzt werden können. Wenn etwa eine Bank auf ihrer Website eine anfällige Flash-Animation benutzt, um aktuelle Börsenkurse oder andere Daten darzustellen, könnte ein Angreifer ein potenzielles Opfer dazu verleiten einen speziell präparierten Link anzuklicken. Dabei werden zusätzliche Parameter eingefügt, bevor die SWF-Datei gestartet wird. Dadurch kann der Angreifer Anmeldedaten oder spezielle Cookies ausspionieren, soweit diese auf dem Computer des Opfers gespeichert sind.

Etliche der aktuellen Werkzeuge zum Erstellen von Flash-Animationen, darunter auch Adobe Dreamweaver, produzieren solche anfälligen SWF-Dateien. Laut Adobe gibt es derzeit noch keine Sicherheits-Updates gegen diese Lücke - weder für die Software zum Erstellen der Multimedia-Inhalte noch für den Flash-Player. Das erst in der letzten Woche bereit gestellte Sicherheits-Update für den Flash-Player beseitigt dieses Problem nicht. Adobe will jedoch in absehbarer Zeit Aktualisierungen bereit stellen.

0 Kommentare zu diesem Artikel
66526