219092

Flash-Bug gefährdet Besucher von Web-2.0-Sites

13.11.2009 | 14:56 Uhr |

Ein Schwachpunkt in Flash, der von Sicherheitsforscher entdeckt worden ist, könnte ausgenutzt werden, um die Rechner von Besuchern beliebiger Web-2.0-Sites zu kompromittieren. Adobe meint, der Fehler sei nicht behebbar.

Forscher des Sicherheitsunternehmens Foreground Security haben eine Schwachstelle im Flash entdeckt, die auf allem Websites ausgenutzt werden kann, die Benutzern das Hochladen eigener Inhalte ermöglichen. Dazu zählen etwa soziale Netzwerke, Web-Foren, Foto-und Videodienste (Flickr, Youtube) oder Web-Mail-Dienste. Doch Flash-Hersteller Adobe ist der Auffassung, das Problem sei nicht durch ein Flash-Update lösbar ("unpatchable").

Der Kern des Problems liegt in der Programmiersprache Actionscript, die Teil von Flash ist. Die so genannte "Same-Origin Policy" soll eigentlich verhindern, dass Flash-Objekte Inhalte von anderen Websites (Domains) nachladen. Doch wenn Benutzer einer Website eigene Flash-Animationen bereit stellen können, könnte ein Angreifer eine schädliche Flash-Datei hochladen, die im Sicherheitskontext dieser Website ausgeführt würde. Mike Bailey und Mike Murray von Foreground Security demonstrieren die Problematik im Blog des Unternehmens .

Nach Ansicht von Adobe ist dieses Problem nicht lösbar, in dem ein vermeintlicher Fehler in Actionscript behoben wird. Vielmehr müssten die Betreiber der Websites darauf achten, was sie den Besucher erlauben hochzuladen. Adobe sei dabei die Web-Admins darüber zu informieren, wie sie diesen Schwachpunkt an ihrem Ende beheben können. Doch die Erfolge dieser Bemühungen halten sich offenbar bislang in Grenzen.

Mike Bailey empfiehlt daher allen Web-Nutzern selbst die Kontrolle darüber zu übernehmen, auf welchen Sites sie Flash im Browser zulassen. Firefox-Nutzer können sich mit der Erweiterung Noscript schützen. Wer den Internet Explorer verwendet, kann Toggle Flash einsetzen, das Flash gezielt ein-und ausschalten kann.

0 Kommentare zu diesem Artikel
219092