Abo
  • Services:
Anzeige

Flash Player

Angreifer können lokale Daten auslesen

Die Sandbox von Adobes Flash-Player lässt sich umgehen, so dass Anwender lokale Dateien auf Clients auslesen und an ihre eigenen Server senden können, hat der Sicherheitsexperte Billy Rios herausgefunden.

Die sogenannte "local-with-filesystem sandbox" von Flash Player soll es Flash-Applikationen ermöglichen, auf lokale Dateien zuzugreifen, aber zugleich verhindern, dass diese Daten an Server übertragen werden können. Doch der Mechanismus lässt sich leicht umgehen, wie der Sicherheitsexperte Billy Rios herausgefunden hat.

Anzeige

Laut Murray lassen sich Zugriffe, die eigentlich nur lokal funktionieren sollten, doch auf externe Server lenken und so Daten an diese übermitteln. Er kritisiert, dass Adobe auf eine Blacklist mit Protokoll-Handlern setzt, und zeigt auf, dass diese lückenhaft ist.

Als Beispiel führt er den Protokoll-Handler "mhtml" an, der von Windows 7 standardmäßig unterstützt wird. Da dieser in der Blacklist fehlt, würden entsprechende Aufrufe nicht durch den Flash-Player angefangen, so dass sich Daten aus der Sandbox an einen Server übertragen lassen.


eye home zur Startseite
Lala Satalin... 07. Jan 2011

Aber dann muss der DAU ja für jede neue Seite, die er braucht den ganzen Kram aktivieren...

Stefan400 07. Jan 2011

... mit dem Namen Silverlight, nachteil ist, das dieses Webapplication derzeit im Netz...

epyx 06. Jan 2011

Laut Computerbase sagt der Typ aber auch dass das ganze nur funktioniert, wenn man ne...

Werni 06. Jan 2011

Weiss jemand ob das die gleiche Sandbox ist, die beim Reader ab Version 10 alles gut...

AufDemTeppichBl... 06. Jan 2011

Naja, klar ist das ne Lücke, aber das Problem tritt ausschließlich dann auf, wenn man ein...



Anzeige

Stellenmarkt
  1. L-Bank Staatsbank für Baden-Württemberg, Karlsruhe
  2. Teambank AG, Nürnberg
  3. FactSet Digital Solutions GmbH, Frankfurt
  4. Heraeus infosystems GmbH, Hanau


Anzeige
Top-Angebote
  1. (u. a. Metal Gear Solid V 23,99€, Total War Warhammer II 15,74€, Project Cars 2 35,99€)
  2. 56,90€ statt 69,90€
  3. 184,90€ statt 199,90€

Folgen Sie uns
       


  1. Mavic Air

    DJI präsentiert neuen Falt-Copter

  2. Apple

    Homepod soll ab Frühjahr 2018 in Deutschland erhältlich sein

  3. 860 Evo und 860 Pro

    Samsungs SSDs sind flotter und sparsamer

  4. Mozilla

    Firefox Quantum wird mit Version 58 noch schneller

  5. TV-Kabelnetz

    Vodafone Kabelnetztrasse in Rheinland-Pfalz zerstört

  6. Hetzner Cloud

    Cloud-Ressourcen für wenig Geld aber mit Zusatzkosten mieten

  7. Fake News

    Murdoch fordert von Facebook Sendegebühr für Medien

  8. Diewithme

    Zusammen im Chat den Akkutod sterben

  9. Soziales Netzwerk

    Facebook sorgt sich um seine Auswirkungen auf die Demokratie

  10. Telefónica

    5G-Test für TV-Übertragung im Bayerischen Oberland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Microsoft: Großer Widerstand gegen US-Zugriff auf weltweite Cloud-Daten
Microsoft
Großer Widerstand gegen US-Zugriff auf weltweite Cloud-Daten
  1. Marktforschung Viele Android-Apps kollidieren mit kommendem EU-Datenschutz
  2. Loki App zeigt Inhalte je nach Stimmung des Nutzers an
  3. EOS Schweiz Daten von Zehntausenden Inkassokunden kompromittiert

Updates: Wie man Spectre und Meltdown loswird
Updates
Wie man Spectre und Meltdown loswird
  1. Hacker One Nur 20 Prozent der Bounty-Jäger hacken in Vollzeit
  2. Wallet Programmierbare Kreditkarte mit ePaper, Akku und Mobilfunk
  3. Fehlalarm Falsche Raketenwarnung verunsichert Hawaii

Ein Jahr Trump: Der Cheerleader der deregulierten Wirtschaft
Ein Jahr Trump
Der Cheerleader der deregulierten Wirtschaft
  1. US-Wahl 2016 Twitter findet weitere russische Manipulationskonten
  2. F-52 Trump verkauft Kampfjets aus Call of Duty
  3. Raumfahrtpolitik Amerika will wieder zum Mond - und noch viel weiter

  1. Re: SJW müssen mal wieder den Spaß aus allem...

    aguentsch | 17:05

  2. Re: der muss ja auch schneller sein

    Dungeon Master | 17:05

  3. Re: Ohne digitizer für Stifteingabe ist das Teil...

    Bigfoo29 | 17:04

  4. Re: Tank

    Bigfoo29 | 17:02

  5. Mit oder ohne Spectre und Meltdown patch?

    derdiedas | 17:01


  1. 17:14

  2. 16:14

  3. 16:00

  4. 15:58

  5. 15:35

  6. 15:26

  7. 14:55

  8. 14:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel