Newsletter

  • Immer informiert über die neusten Trends, Webseiten und Tutorials! Einfach hier für den monatlichen Newsletter anmelden.
  •  Eintragen
  •  Austragen

Login

Umfrage

  • Haben Sie Interesse an Softwaretipps für Webmaster?
  •  
  • ja
  • nein
  •  


Linktipps

Anzeige

 

www.finanzcheck.de

Viele swf-Dateien im Netz gefährdet

Vor wenigen Wochen schlugen Forscher von Google und einer Sicherheitsfirma Alarm. Es wurde entdeckt, dass es eine große Anzahl von swf-Dateien im Netz gäbe, die potentiell Cross-Site-Scripting (XSS) Attacken möglich machen würden. Problematisch bei Behebung dieser Sicherheitslücke ist, dass vielen Webmastern die Sicherheitslücke nicht bewußt ist und vor allem, dass es kein Patch gibt um das Problem schnell zu beheben. Viele Seitenbetreiber müssten die Flash-Dateien neu generieren. Angeblich sollen auch Banken und andere als sicher geltenden Webseiten gefährdet sein. Google hat sogar ihren Suchalgorithmus modifiziert um weniger potentiell schadhafte Dateien zu referenzieren.

In Expertenkreisen ist das Problem vor wenigen Wochen bekannt geworden. Es soll vor allem Flash-Dateien betreffen, die mit nutzergenerierten Inhalten genutzt werden, beispielsweise Video-Player oder andere Applikationen mit Texteingabe. Diese Texteingabe soll einen unbefugten Zugriff auf Daten der Website ermöglichen - eine sogenannte Cross-Site-Scripting (XSS) Attacke.

Nach wie vor existiert dass Problem, dass es kein Patch gibt um die Lücke zu beheben, sondern dass die swf-Dateien neu erstellt werden müssen. Und dafür benötigt man die Quellcode-Dateien des Flash-Projektes und ein Flash-Authoring-Tool, welches die swf-Datei ohne Sicherheitslücke generiert, also entsprechend auf aktuellem Stand ist. Ein zentrales Problem dabei ist, dass bisher das Bewußtsein für diese Sicherheitslücke nicht sonderlich geschärft ist. Außerdem wurden viele der Flash-Applikationen von Drittanbietern programmiert. Diese sind oft vor Wochen oder Monaten im Auftrag entwickelt worden und die Quellcodes nicht mehr verfügbar. Ein Stopfen der Sicherheitslücken würde es in vielen Fällen nötig machen die entsprechende Applikation neu zu entwickeln.

Das Problem wurde im Dezember 2007 bekannt und Google hat erst kürzlich um die 500.000 garantiert gefährdeten swf-Dateien über ihre Suchmaschine gefunden. Besorgt wurden die Suchergebnisse dahingehend manipuliert, dass nur noch etwa 80.000 Dateien dieser schadhaften Dateien gefunden wurden. Das Problem besteht also weiterhin und sollte möglichst bald behoben werden. Ein Programm mit dem Namen SWFIntruder soll Flash-Applikationen auf diese Sicherheitslücke testen.
30.03.2008
Zurück zur Übersicht
 
Anzeige