• IT-Karriere:
  • Services:

Flash Player

Angreifer können lokale Daten auslesen

Die Sandbox von Adobes Flash-Player lässt sich umgehen, so dass Anwender lokale Dateien auf Clients auslesen und an ihre eigenen Server senden können, hat der Sicherheitsexperte Billy Rios herausgefunden.

Artikel veröffentlicht am ,

Die sogenannte "local-with-filesystem sandbox" von Flash Player soll es Flash-Applikationen ermöglichen, auf lokale Dateien zuzugreifen, aber zugleich verhindern, dass diese Daten an Server übertragen werden können. Doch der Mechanismus lässt sich leicht umgehen, wie der Sicherheitsexperte Billy Rios herausgefunden hat.

Stellenmarkt
  1. Landeshauptstadt Stuttgart, Stuttgart
  2. Hays AG, Nordrhein-Westfalen

Laut Murray lassen sich Zugriffe, die eigentlich nur lokal funktionieren sollten, doch auf externe Server lenken und so Daten an diese übermitteln. Er kritisiert, dass Adobe auf eine Blacklist mit Protokoll-Handlern setzt, und zeigt auf, dass diese lückenhaft ist.

Als Beispiel führt er den Protokoll-Handler "mhtml" an, der von Windows 7 standardmäßig unterstützt wird. Da dieser in der Blacklist fehlt, würden entsprechende Aufrufe nicht durch den Flash-Player angefangen, so dass sich Daten aus der Sandbox an einen Server übertragen lassen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. F1 2020 für 23,99€, Planet Zoo für 21,99€, Fortnite - Legendary Rogue Spider Knight...
  2. 499,99€ (Vorbestellungen in Märkten weiterhin möglich)
  3. 499,99€ (Vorbestellungen in Märkten weiterhin möglich)
  4. (u. a. Microsoft Surface Book 2 Convertible mit 13,5 Zoll Display i5-8350U 256GB SSD für 1.258...

Lala Satalin... 07. Jan 2011

Aber dann muss der DAU ja für jede neue Seite, die er braucht den ganzen Kram aktivieren...

Stefan400 07. Jan 2011

... mit dem Namen Silverlight, nachteil ist, das dieses Webapplication derzeit im Netz...

epyx 06. Jan 2011

Laut Computerbase sagt der Typ aber auch dass das ganze nur funktioniert, wenn man ne...

Werni 06. Jan 2011

Weiss jemand ob das die gleiche Sandbox ist, die beim Reader ab Version 10 alles gut...

AufDemTeppichBl... 06. Jan 2011

Naja, klar ist das ne Lücke, aber das Problem tritt ausschließlich dann auf, wenn man ein...


Folgen Sie uns
       


Battery Day: Wie Tesla die Akkukosten halbieren will
Battery Day
Wie Tesla die Akkukosten halbieren will

Größer, billiger und vor allem viel viel mehr. Tesla konzentriert sich besonders auf bessere und schnellere Akku-Herstellung.
Ein Bericht von Frank Wunderlich-Pfeiffer

  1. Elektromobilität Tesla will zehn Prozent an LGs Akkusparte übernehmen
  2. Drei Motoren Tesla Model S Plaid kommt in 2 Sekunden auf 100 km/h
  3. Grünheide Tesla und Gigafactory-Kritiker treffen aufeinander

Amazon: Der Echo wird kugelig
Amazon
Der Echo wird kugelig

Zäsur bei Amazon: Alle neuen Echo-Lautsprecher haben ein komplett neues Design erhalten.

  1. Echo Auto im Test Tolle Sprachsteuerung und neue Alexa-Funktionen
  2. Echo Auto Amazon bringt Alexa für 60 Euro ins Auto

Computer: Gebrauchsanleitung des Zuse Z4 gefunden
Computer
Gebrauchsanleitung des Zuse Z4 gefunden

Die Anleitung für den Zuse Z4 galt lange als verschollen, bis sie an einer ehemaligen Wirkungsstätte des Supercomputers der 40er und 50er Jahre entdeckt worden ist.


      •  /