Hacker machen Adobes Flash mit dem Blitzableiter sicher

Allerdings funktioniert noch kein Flash-Code, der die vergleichsweise neue virtuelle Maschine AVM2 des Flash-Players unterstützt und in Actionscript 3 geschrieben wurde. Nicht zuletzt auch, weil von Adobe wenig Unterstützung für die Community kommt. Die Planung der Blitzableiter-Entwickler beinhaltet aber, das Problem zu beseitigen. Ebenfalls funktioniert kein Code, der verschlüsselt wurde.

Der Blitzableiter ist ein in C# geschriebenes Projekt und setzt auf .NET 2.0. Das soll laut FX zwei Vorteile haben. 0-Day-Exploits gegen .NET seien selten, teuer und würden kaum gegen einen Flashparser eingesetzt. Außerdem laufe der Blitzableiter so auch in Mono-Umgebungen.

Flash-Entwicker zur Mitarbeit aufgerufen

Dieser ungewöhnliche Ansatz funktioniert prinzipiell auch mit anderen Produkten von Adobe, allerdings wiegelt Hacker FX von Recurity Labs gleich ab. Das müsse jemand anderes übernehmen. Der Quellcode steht jedenfalls unter der Projekthomepage blitzableiter.recurity.com zur Ansicht bereit. Auch die Flash Community wird darum gebeten, an dem Projekt teilzunehmen, um eventuelle Fehler aufzudecken und gleichzeitig mehr für die Sicherheit der Anwender zu tun. Nebenbei dürfte ein Flash-Entwickler auch feststellen, wenn etwas im eigenen Code nicht stimmt.

In Zukunft könnte der Blitzableiter in verschiedenen Formen verteilt werden. Etwa als Browsererweiterung, Filtermodul eines Proxyservers oder eines Uploadfiltermoduls, das etwa wichtig wäre, wenn ein Anbieter das Hochladen von Flashinhalten erlaubt und somit seine Nutzer in Gefahr bringen könnte.

Der Quellcode wurde unter der GPLv3 veröffentlicht. Auch eine Entwicklerdokumentation ist auf der Projektseite im Wiki bereits zu finden.