Een bekend beveiligingsbedrijf en onderzoekers van Google hebben een bug in de Flash Player gevonden die ervoor zorgt dat duizenden sites vatbaar zijn voor een aanval waarmee persoonlijke informatie van bezoekers verkregen kan worden. Aldus The Register.Een bekend beveiligingsbedrijf en onderzoekers van Google hebben een bug in de Flash Player gevonden die ervoor zorgt dat duizenden sites vatbaar zijn voor een aanval waarmee persoonlijke informatie van bezoekers verkregen kan worden. Aldus The Register (http://www.theregister.co.uk/2007/12/21/flash_vulnerability_menace/).

Flash applicaties zijn vatbaar voor aanvallen waarmee tekststrings met een bepaalde waarde geinjecteerd worden. Ook wel crosssitescripting (XSS) genoemd. Een dergelijke aanval maakt het mogelijk voor de aanvaller om cookies en andere gegevens van het slachtoffer op te vragen. De onderzoekers melden dat een half miljoen Flash applicaties van bedrijfs-, overheids- en mediasites vatbaar zijn voor deze bug. [LeesMeer]

"Veel computers zijn vatbaar voor dergelijke aanvallen. Op dit moment zijn er geen andere oplossingen beschikbaar dan de SWFs verwijderen en wachten op autorizatiesoftware en/of wachten op een update van de Flash Player" aldus Alex Stamons. Ook meldt hij dat het belangrijk is dat je zelf handmatig test of Flash applicaties op jouw website vatbaar zijn voor deze bug. En dan met name de data controleren die de SWF binnenkomt.

Ik heb het bericht qua taalcorrectheid wat aangepast.
Kan iemand van de 'developers' hier even naar kijken dat het inhoudelijk correct is?
ik heb absoluut geen kennis van XSS attacks :#

Ik heb het bericht qua taalcorrectheid wat aangepast.Kan je volgende keer ipv 'wat' 'alles' aanpassen? :D

Aantal taal (en-) technische aanpassingen:

bug in Flash >> bug in de Flash Player
verkrijgen kan worden >> verkregen kan worden
overheids-en >> overheids- en
update van de Flashplayer >> update van de Flash Player
Ook meld hij >> Ook meldt hij
zelf manueel test >> zelf handmatig test
applicatie(s) ... vatbaar is/zijn >> applicaties ... vatbaar zijn

3x: Flashapplicatie(s) >> Flash applicatie(s)

Meer nederlandse info had ik al getipt:
http://flashfocus.nl/forum/showthread.php?t=39587

Verder klopt het technisch :)

Kan je volgende keer ipv 'wat' 'alles' aanpassen? :D

Aantal taal (en-) technische aanpassingen:

bug in Flash >> bug in de Flash Player
verkrijgen kan worden >> verkregen kan worden
overheids-en >> overheids- en
update van de Flashplayer >> update van de Flash Player
Ook meld hij >> Ook meldt hij
zelf manueel test >> zelf handmatig test
applicatie(s) ... vatbaar is/zijn >> applicaties ... vatbaar zijn

3x: Flashapplicatie(s) >> Flash applicatie(s)

Meer nederlandse info had ik al getipt:
http://flashfocus.nl/forum/showthread.php?t=39587

Verder klopt het technisch :)
Thx voor de spellingstips :)
Had ik gisteren pas gezien nadat ik deze had gewijzigd.
Nog een frontpage image bijzetten en dan mag hij online, tenzij er nog aanmerkingen zijn.

//edit: frontpage image is gereed.

ik vind het best :)

en hoe kan je dat dan efficient controleren bij al je online apps, en wanneer is het 'fout'?

p.s. titel meldt 'duizenden', onderzoekers spreken over 'half miljoen' > honderdduizenden!

Dat wordt niet verteld (om die redenen dat men anderen niet wil aanzetten tot het hacken). Ikzelf weet niet hoe XSS attacks werken. De die-hard technici van FlashFocus kunnen daar wrs meer van zeggen ;)

Nou goed dat ik het weet!
Wat een rotmensen bestaan er toch om andermans sites te verzieken...

Alleen een SWF dat draait op een domain, kan cookies van dat domain opvragen.
Door code in die SWF te stoppen, kan je die code dus de cookies van dat domain (waar je anders nooit bij kon) opvragen en naar jezelf laten e-mailen of iets dergelijks.

Ach, je moet het van de goede kant zien; als Adobe met een update uit komt gaan alle bedrijfssysteembeheerders en alle andere mensen updaten naar die player, wat er weer voor zorgt dat er minder mensen zijn met FP7 of 8, zodat wij lekker FP9/AS3 kunnen maken ;)

en hoe kan je dat dan efficient controleren bij al je online apps, en wanneer is het 'fout'?

p.s. titel meldt 'duizenden', onderzoekers spreken over 'half miljoen' > honderdduizenden!

duizenden websites, half miljoen flash applicaties. ;) Lezen blijft een vak apart he. :P

en hoe kan je dat dan efficient controleren bij al je online apps, en wanneer is het 'fout'?
er is meer hier...
http://www.adobe.com/devnet/flashplayer/articles/secure_swf_apps.html

Nouja, het lijkt me algemeen bekend dat Flash zoiezo niet echt bekend staat om 'veiligheid'... Met alle flash decompilers tegenwoordig is directe communicatie tussen Flash en de sevrer gewoon een don't... Persoolijk gebruik ik flash altijd alleen voor de interface, interactie met de site gaat eerst via PHP die de invoer via de flash movies filtert. Zo kan je XSS of andere vormen van injecties (RFI, SQL) voorkomen.