Flash-bug maakt duizenden websites vatbaar voor aanval

Onderzoekers van Google en beveiligingsbedrijf iSEC Partners hebben een fout gevonden in Flash, waardoor kwaadwillenden persoonlijke gegevens van sitegebruikers kunnen stelen. Aan een oplossing wordt nog gewerkt.

Adobe Flash logo kleinDe Flash-applets zijn kwetsbaar voor aanvallen waarbij tekststrings met een speciaal bepaalde waarde in de originele code van het Flash-filmpje geïnjecteerd worden. Hierdoor wordt het mogelijk om een zogenoemde cross-site scripting-aanval uit te voeren en bijvoorbeeld cookies van de ene website naar een andere site te sturen. Volgens de onderzoekers gaat het om een half miljoen Flash-applets op grote bedrijfs-, overheids- en mediasites die last hebben van de bug, zo meldt The Register.

Volgens Alex Stamos, een van de onderzoekers, kunnen alle internetters slachtoffer worden van de fout omdat aan de buitenkant van een Flash-applet niet te zien is op deze kwetsbaar is. Op dit moment is er nog geen oplossing of bescherming beschikbaar, behalve dan het niet meer openen of laten openen van Flash-bestanden.

Een oplossing voor dit probleem moet bij verschillende partijen vandaan komen. Adobe zal updates moeten regelen voor de Flash-speler zelf, maar Stamos verwacht niet dat daarmee het volledige probleem wordt opgelost. Verder zullen ontwikkelaars van Flash-ontwikkeltools hun software moeten bijwerken, zodat door die programmatuur gegenereerde Flash-code niet langer kwetsbaarheden vertoont. Van belang is dat data die het Flash-bestand binnenkomt goed gecontroleerd wordt.

Door Harm Hilvers

Freelance nieuwsposter

Feedback • 24-12-2007 15:14 36

24-12-2007 • 15:14

36

Lees meer

Adobe wordt lid van veiligheidsprogramma Microsoft
Adobe wordt lid van veiligheidsprogramma Microsoft Nieuws van 29 juli 2010
Flash-bug die browser laat crashen is nog niet opgelost
Flash-bug die browser laat crashen is nog niet opgelost Nieuws van 7 februari 2010
'Miljoenen flashbanners zijn gevoelig voor scripting-aanvallen'
'Miljoenen flashbanners zijn gevoelig voor scripting-aanvallen' Nieuws van 24 december 2009
Onderzoekers vinden tal van openstaande apparaten op internet
Onderzoekers vinden tal van openstaande apparaten op internet Nieuws van 25 oktober 2009
Printlek in Internet Explorer ontdekt
Printlek in Internet Explorer ontdekt Nieuws van 15 mei 2008
Belangrijke veiligheidsupdates Flash
Belangrijke veiligheidsupdates Flash Nieuws van 17 juli 2007
Apple dicht 45 gaten met megapatch
Apple dicht 45 gaten met megapatch Nieuws van 14 maart 2007
'Ajax is handig voor hackers'
'Ajax is handig voor hackers' Nieuws van 7 augustus 2006
Ongepatchte Exchange-servers 'mogelijk wormdoelwit'
Ongepatchte Exchange-servers 'mogelijk wormdoelwit' Nieuws van 10 mei 2006
'Eolas-patch' Microsoft mogelijk uitgesteld
'Eolas-patch' Microsoft mogelijk uitgesteld Nieuws van 29 maart 2006
Meer producten en artikelen
Software development Internet Beveiliging

Reacties (36)

-Moderatie-faq
36
35
18
7
0
1
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 25 december 2007 11:38
Hier verschiet ik niet van.
Ik heb weet van minstens 1 fundamentele fout in Actionscript 2.0 (waarbij de compiler er een totaal andere redenering op nahoudt dan wat at run-time te zien is)
Dat dit in een 2.0 versie mogelijk is, kan ik met mijn verstand niet bij.
sanderv @Verwijderd25 december 2007 13:33
Wat bedoel je nou?
- 'ik heb al één fout gevonden, dus zal er vast nog wel één in zitten'
- 'ik heb nog maar één fout gevonden, dus zal er vast nog wel minstens één in zitten'

Het is een product met honderdduizenden, vast wel miljoenen regels code. Dat is vanzelfsprekend niet foutloos. Jij vindt een fout in de rendering, Tweakers bericht over een fout in de security. Shit happens. Misschien is het belangrijker hoe Adobe er mee om gaat? Concurrent MS wordt er vaak van beschuldigd bugs onder het tapijt te vegen (met name waar het over security gaat). Adobe steekt de laatste tijd veel geld om hun populariteit te vergroten onder ontwikkelaars. Veel van die goodwill kunnen ze met dit soort grappen kwijtraken, of juist versterken. Benieuwd hoe ze dit uitspelen!
denkster @sanderv25 december 2007 16:16
- 'ik heb al één fout gevonden, dus zal er vast nog wel één in zitten'
Er bestaat literatuur over testen en fouten vinden, waarin precies deze stelling is onderbouwd:
'In elke review-ronde vindt je niet meer dan de helft van de fouten'
(of woorden van gelijke strekking)
Dit is een belangrijke stelling om het minimaal benodigde aantal review-en-herstel-cycli te kunnen schatten, gegeven het aantal fouten dat de opdrachtgever toelaatbaar acht.
Neglacio 24 december 2007 15:38
Voor deze keer supporter ik voor SilverLight/MoonLight.
Waarom? Wel, concurrentie zorgt ervoor dat er geen zwakke centralisatie is.
Nu kunnen vele personen hiermee worden geconfronteerd. Met SL/ML als concurrentie, zullen er minder worden aangevallen, en zijn het aantal exploits ook relatief lager.
Janoz Moderator PRG/SEA @Neglacio24 december 2007 16:00
Dat slaat natuurlijk nergens op. Je verhaal zou opgaan wanneer gebruikers de ene of de andere plugin zouden installeren. Nu krijg je juist dat mensen de flash player en de silverlight player installeren. De mogelijkheden voor exploits zijn dus eerder verdubbeld (twee implementaties) terwijl de installbase hetzelfde blijft.

Een echte oplossing zou zijn wanneer er gewoon een open standaard zou komen die door meerdere aanbieders geïmplementeerd zou worden. Dan kun je gewoon de player kiezen die je zelf wilt en toch alle content afspelen.
Little Penguin
@Janoz24 december 2007 16:27
Precies, dus in plaats van Silverlight/Moonlight en Flash dus SVG + HTML5 (ivm de audio en video opties van deze standaard).

Alleen op basis van open standaarden is gezonde concurrentie mogelijk, zoals wel blijkt uit de hernieuwde browseroorlog. Microsoft is nu tot actie gedwongen omdat Firefox, Opera en Safari actief aan het zagen zijn aan het bijna monopolie van IE.

De standaarden zijn er (SVG et al) en van de grote browsers implementeren Firefox,Opera en Safari deze al voor een groot deel...
Crysania @Neglacio24 december 2007 15:52
silverlight heeft nog wat tijd nodig om in te burgeren. geef het een jaartje en dan kent in ieder geval iedereen het in tegenstelling tot nu.

verder vind ik silverlight meer potentie hebben als flash maar dat is een ander verhaal.

edit:
iets anders/beter geformuleerd.

[Reactie gewijzigd door Crysania op 22 juli 2024 17:10]

Little Penguin
@Crysania24 december 2007 16:30
Om eerlijk te zijn heb ik het liefst dat Silverlight faalt (en dat Flash veel minder marktaandeel krijgt), dit ten gunste van open standaarden, zoals SVG.

Nu is er op SVG best wel het een en ander aan te merken, maar in mijn opinie is het een veel beter alternatief voor het proprietaire Flash of Silverlight.
graey @Little Penguin24 december 2007 20:12
Met alle respect en ik ben het eens over SVG icm goeie video-elementen in html etc., maar Silverlight specs zijn dacht ik open (.Net iig wel), alleen de uiteindelijke 'renderer'/interpreter is closed. Dat is jammer, maar Moonlight zal er denk ik relatief snel genoeg komen om dat probleem de wereld uit te helpen. En Microsoft werkt moonlight alles behalve tegen.
kidde
@graey25 december 2007 00:29
Volgens Wikipedia is .NET is deels open. Dat gedeelte wat ECMA/ISO gestandaardiseerd is wel; voor dat gedeelte eist ISO dat patenten onder redelijke en niet discriminerende termen beschikbaar zijn. Het gedeelte van .NET dat niet in ECMA/ISO is beschreven is - o.a. Windows Forms en ASP.NET - is echter niet te implementeren zonder risico te lopen aangeklaagd te worden voor patentinbreuk - onder andere door Microsoft.

Van Silverlight zelf is een klein stukje beschikbaar als Open Source (niet GPL-compatibel overigens), de rest is gewoon totaal gesloten - zoals gebruikelijk bij Microsoft. Novell mag echter stukjes van alle gesloten documentatie inzien, en het MONO-team mag daar met hulp van Microsoft een (gesloten) binary voor compileren, die verspreid mag worden onder Linux gebruikers.
En Microsoft werkt moonlight alles behalve tegen.
Microsoft is maar al te blij dat ze eindelijk een goede smoes hebben om Linux-gebruikers die tot nog toe totaal niks met .NET te maken hoeven hebben en het niet nodig hebben, dit platform alsnog als een vereiste op het Linux-platform te krijgen / door de maag te splitsen.
sanderv @graey25 december 2007 13:21
"Silverlight specs zijn dacht ik open (.Net iig wel)"

Nou, datzelfde geldt toch ook voor Flash en Flex (de programmeertaal die door Adobe bovenop Flash gelegd is)? Alleen de player is proprietary, maar voor de rest timmert Adobe hard aan de weg in de open source-hoek.

Zelf menen ze ong. twee jaar voorsprong te hebben op MS, die die tijd nodig zouden hebben om met Silverlight een vergelijkbare browser-penetratie te bereiken als Flash (meer dan 90%, is me verteld). Ondertussen hoorde ik ergens de ambitie van Adobe om binnen nu en een jaar een miljoen Flex-ontwikkelaars te hebben, naast dat Flash zelf al de de facto standaard is.
Janoz Moderator PRG/SEA @Crysania24 december 2007 16:03
Hoe kun je een nog niet afgerond product dat (nu nog) slechts een subset bevat van de mogelijkheden van zijn directe concurent beter vinden? Dat vroeg ik mij af toen ik je post doorlas. Maar toen ik in je profile zag dat je bij Avanade werkte begreep ik het ;)..
Crysania @Janoz24 december 2007 16:22
Wat kan flash op dit moment wat in silverlight niet mogelijk is?

1 van de belangrijkste dingen die goed vind aan silverlight is dat het mogelijk is om buiten je "eilandje" te kunnen communiceren met andere html elementen waar flash niet buiten z'n flash object kan komen.

verder is het vooral wachten op 1.1 wat echt een verschil kan maken.

het grootste probleem van silverlight is imo de grote achterban van designers die WEL om kunnen gaan met adobe tools en niet met ms tools.

[Reactie gewijzigd door Crysania op 22 juli 2024 17:10]

_JGC_ @Crysania24 december 2007 16:24
Flash kan zeker wel communiceren met de rest van de website, hier moet je echter javascript voor gaan schrijven. Je kunt gewoon javascript functies vanuit flash aanroepen en vice versa.
bush @Janoz24 december 2007 16:13
Silverlight 1.0 is al afgerond. 1.1 is nog in ontwikkeling.
Sijmen @kidde27 december 2007 11:05
Moonlight is open source.
mithras 24 december 2007 15:25
Op de website van The Register wordt ook niets vermeld over Gnash (link: http://www.gnu.org/software/gnash/). Zou Gnash er ook vatbaar voor zijn, of is samen met het reverse engineeren deze bug gelukkig niet in de open-source variant geslopen?

Zo te zien vraagt iemand het op de mailinglist het zich ook af, maar is er nog geen sluitend antwoord: http://lists.gnu.org/arch...ash/2007-12/msg00018.html.
* mithras wacht maar even af :)
Sebazzz @mithras24 december 2007 15:47
Ja, dat vroeg ik mij ook gelijk af. Helaas is gnash ver van compleet en ondersteunt het amper wat. Flash is geen open standaard zoals PDF toch? Gnash zou ik wel gebruiken als het een beetje goed was, maar nu zit ik aan Flash 9 Beta vast op Linux :'( Er is ook niets dat Adobe dwingt om actiever te gaan ontwikkelen voor Linux, want je hebt nog geen Silverlight voor Linux, en het duurt nog wel even voordat die port af is. Bovendien wordt de port gemaakt en beheert door het Mono team (in opdracht van Microsoft).
Maurits van Baerle @Sebazzz24 december 2007 17:30
Flash 9 voor Linux is toch al uit beta? http://www.macromedia.com/software/flash/about/
Verwijderd @Maurits van Baerle24 december 2007 22:55
Officieel is het misschien geen beta meer, maar naar mijn ervaring in de praktijk wel.

Een keer in de zoveel tijd besluit flash bij specifieke flash-applets (waaronder groten namen als youtube, of eigenlijk elke flash-based media-player) dat tie er niet meer zoveel zin in heeft. Heel firefox wordt als gevolg daarvan zo traag als stront door een trechter. Het killen van de flash-programmatuur door middel van een 'killall npviewer.bin' maakt in dat geval de browser weer stabiel. In enkele gevallen kan door het herladen van de pagina ook de flash-content nog gered worden, maar meestal is het gewoon beter om de browser opnieuw op te starten.

Op zich zou dit allemaal nog wel te overleven zijn, waar het niet dat hele kuddes webmasters het tegenwoordig noodzakelijk vinden om in elke f*cking pagina flash-zooi te frotten, zelfs in gevallen waar een animated gifje, wat CSS, of een simpel javascriptje zou volstaan; of gewoon helemaal niks aangezien 80% van de flash content toch niks bijdraagt aan de pagina. Daardoor blijkt in de praktijk dat, door het gebruik van flash, de browser op elk willekeurig moment instabiel wordt, zelfs wanneer geen pagina's geopend zijn waar flash ook enige nuttige inbreng heeft.
GoBieN-Be @Verwijderd25 december 2007 02:24
Bij mij crasht de flash speler constant op windows, in zowel FF als IE en dit vooral op flash filmpjes ala youtube en garagetv. Al getest met V8 en V9 en blijft aanhouden, zeer vervelend en ik vind geen oplossing
qazwsx 24 december 2007 16:00
Betekent dit dat als je nu nog ontwikkelt in zeg flash 7 of flash 8 dat je moet upgraden naar cs3 of zou adobe ook de oude versies patchen?
Verwijderd @qazwsx25 december 2007 00:29
Het gaat hier over de "Flash Player". Niet Flash het animatie pakket dat je moet kopen.
GoBieN-Be @Verwijderd25 december 2007 02:28
Er staat duidelijk in de nieuwspost dat de ontwikkel tools aangepast moeten worden, om code te schrijven die de bug niet kan veroorzaken.
cariolive23 24 december 2007 15:56
Van belang is dat data die het Flash-bestand binnenkomt goed gecontroleerd wordt.
Waarom wordt deze openstaande deur toch weer met veel geweld ingetrapt? Userinput moet je toch altijd goed controleren? Of sla ik de plank nu volkomen mis? :?
Little Penguin
@cariolive2324 december 2007 16:33
Je slaat de plank helemaal niet mis, als het probleem veroorzaakt wordt door domme fouten van een programmeur dan kun je het platform (in dit geval Flash) helemaal niets verwijten.

Helaas veegt iedereen graag zijn/haar eigen straatje schoon en maakt er al snel een probleem van een ander van. (Zo als bijvoorbeeld het virus/spy/malware probleem waar de ISP voor bescherming zou moeten zorgen, en dat terwijl het de verantwoordelijkheid is van de bouwers van besturingssystemen en de gebruiker zelf natuurlijk)
Verwijderd 24 december 2007 16:59
hier bied de noscript plugin voor firefox toch uitkomst ?
en zo enkel betrouwbare flash apps te laten runnen ...
Verwijderd @Verwijderd24 december 2007 17:35
True, maar hoe weet je of een filmpje betrouwbaar is? Als ik iets op youtube of newgrounds wil kijken heb je al snel Javascript weer aanstaan en dan zou de besmetting dus kunnen plaatsvinden.
Kabouterplop01 24 december 2007 17:35
Ben benieuwd of TRUE al de flash applets van de tweakers site afhaalt totdat er maatregelen zijn genomen....
crisp Senior Developer @Kabouterplop0124 december 2007 22:11
Wij hebben helemaal geen flash 'applets' op ons domein staan, en de flash-banners die hier getoond worden zijn hooguit een security risk voor doubleclick, niet voor ons omdat wij ze niet hosten ;)
Rob @Kabouterplop0124 december 2007 18:11
TRUE doet niets met Tweakers.net

TRUE biedt Tweakers ruimte in de serverruimte en een verbinding naar het Internet (en wat prik zodat de servers ook nog aan kunnen :))
Verwijderd 24 december 2007 17:53
Firefox plugin FlashBlock wellicht een workaround?
Rob @Verwijderd24 december 2007 18:13
Dat is een slechte workaround.

De beste oplossing is dat Adobe zo snel mogelijk een update maakt.
Verwijderd @Rob24 december 2007 20:21
Hoezo slechte workaround?? Weet je wel wat een workaround betekent? Als Adobe met een oplossing komt, is er dus geen workaround meer nodig, maar is er een echte oplossing.
livePulse 24 december 2007 23:16
Grappig artikel temeer ik lees dat Adobe Flash "afgelopen week" heeft ge-update... :D

http://www.macworld.co.uk...ndex.cfm?RSS&NewsID=20015

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq