Hacker machen Adobes Flash mit dem Blitzableiter sicher
Wer mit einem Flash-Player unterwegs ist – und das sind die meisten Anwender – ist prinzipiell gefährdet. Zahlreiche Sicherheitslücken nerven Nutzer, die nur den Verzicht auf Flash als Alternative haben. Dazu kommt, dass Adobe beim Schließen entdeckter Lücken langsam ist und Sicherheitsprobleme prinzipbedingt plattformübergreifend sind.
Code vom Flash-Player ist veraltet
Das Fazit der Hacker der Recurity Labs: Adobe schaffe es nicht, den Flash-Player ordentlich gegen Angriffe zu schützen, da die Codebasis sehr alt und vom Design her schlecht ist. Neu schreiben wolle den Flash-Player auch keiner, nicht einmal Adobe. Es gibt aber mit Gnash(öffnet im neuen Fenster) immerhin ein Projekt, das diesen Versuch unternommen hat. Schwierigkeiten bei einem Neuschreiben bereitet unter anderem, dass der herkömmliche Flash-Player Fehler eines Programmierers häufig toleriert. So etwas zu emulieren ist anscheinend keine einfache Aufgabe.
Das Blitzableiter genannte Programm soll die Lösung sein und damit sicheres Surfen trotz installiertem Flash-Player erlauben. Um das Surfen sicherer zu machen, geht der Parser des Blitzableiters den Flashcode durch, prüft diesen und gibt ihn erst modifiziert an den Flash-Player weiter. Damit ist der Blitzableiter wirkungsvoller als Virenscanner, die in vielen Fällen bei Angriffen über Flash versagen. Außerdem beseitigt der Parser so auch Designschwächen, die den Flash-Player potenziell leicht angreifbar machen. Ein paar Nachteile hat dieser Weg allerdings. Der Flash-Code wird größer und die Verarbeitung des Codes dauert etwa eine Sekunde.
Portale wie Youtube funktionieren mit dem Blitzableiter jedenfalls. Alle dokumentierten 100 AVM1-Instruktionen sollen bereits unterstützt werden. Und auch andere Flash-Inhalte wie Banner und Filme arbeiten mit einer Erfolgsquote von über 90 Prozent. Getestet wurden bisher etwa 45 GByte an Daten. Was gewünschter Weise nicht funktioniert, sind 20 Tests mit bekannter Flash-Malware. Diese wird unschädlich gemacht, selbst, wenn der Anwender seinen Flash-Player nicht auf dem aktuellen Stand hat.
Allerdings funktioniert noch kein Flash-Code, der die vergleichsweise neue virtuelle Maschine AVM2 des Flash-Players unterstützt und in Actionscript 3 geschrieben wurde. Nicht zuletzt auch, weil von Adobe wenig Unterstützung für die Community kommt. Die Planung der Blitzableiter-Entwickler beinhaltet aber, das Problem zu beseitigen. Ebenfalls funktioniert kein Code, der verschlüsselt wurde.
Der Blitzableiter ist ein in C# geschriebenes Projekt und setzt auf .NET 2.0. Das soll laut FX zwei Vorteile haben. 0-Day-Exploits gegen .NET seien selten, teuer und würden kaum gegen einen Flashparser eingesetzt. Außerdem laufe der Blitzableiter so auch in Mono-Umgebungen.
Flash-Entwicker zur Mitarbeit aufgerufen
Dieser ungewöhnliche Ansatz funktioniert prinzipiell auch mit anderen Produkten von Adobe, allerdings wiegelt Hacker FX von Recurity Labs gleich ab. Das müsse jemand anderes übernehmen. Der Quellcode steht jedenfalls unter der Projekthomepage blitzableiter.recurity.com(öffnet im neuen Fenster) zur Ansicht bereit. Auch die Flash Community wird darum gebeten, an dem Projekt teilzunehmen, um eventuelle Fehler aufzudecken und gleichzeitig mehr für die Sicherheit der Anwender zu tun. Nebenbei dürfte ein Flash-Entwickler auch feststellen, wenn etwas im eigenen Code nicht stimmt.
In Zukunft könnte der Blitzableiter in verschiedenen Formen verteilt werden. Etwa als Browsererweiterung, Filtermodul eines Proxyservers oder eines Uploadfiltermoduls, das etwa wichtig wäre, wenn ein Anbieter das Hochladen von Flashinhalten erlaubt und somit seine Nutzer in Gefahr bringen könnte.
Der Quellcode wurde unter der GPLv3 veröffentlicht. Auch eine Entwicklerdokumentation ist auf der Projektseite im Wiki bereits zu finden.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.