Golem pur

Golem.de ohne Werbung nutzen
Mehrseitige Artikel auf einer Seite lesen
RSS-Volltext-Feed für Artikel
Ab 3,00 € pro Monat

Flash Player

Angreifer können lokale Daten auslesen

Die Sandbox von Adobes Flash-Player lässt sich umgehen, so dass Anwender lokale Dateien auf Clients auslesen und an ihre eigenen Server senden können, hat der Sicherheitsexperte Billy Rios herausgefunden.

Artikel veröffentlicht am 6. Januar 2011, 10:57 Uhr, Jens Ihlenfeld

Die sogenannte "local-with-filesystem sandbox" von Flash Player soll es Flash-Applikationen ermöglichen, auf lokale Dateien zuzugreifen, aber zugleich verhindern, dass diese Daten an Server übertragen werden können. Doch der Mechanismus lässt sich leicht umgehen, wie der Sicherheitsexperte Billy Rios herausgefunden hat.

Laut Murray lassen sich Zugriffe, die eigentlich nur lokal funktionieren sollten, doch auf externe Server lenken und so Daten an diese übermitteln. Er kritisiert, dass Adobe auf eine Blacklist mit Protokoll-Handlern setzt, und zeigt auf, dass diese lückenhaft ist.

Als Beispiel führt er den Protokoll-Handler "mhtml" an, der von Windows 7 standardmäßig unterstützt wird. Da dieser in der Blacklist fehlt, würden entsprechende Aufrufe nicht durch den Flash-Player angefangen, so dass sich Daten aus der Sandbox an einen Server übertragen lassen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de

ohne Werbung
mit ausgeschaltetem Javascript
mit RSS-Volltext-Feed

Themenseiten:

Kommentarübersicht

Re: JavaScript und Flashblocker

Lala Satalin... 07. Jan 2011

Aber dann muss der DAU ja für jede neue Seite, die er braucht den ganzen Kram aktivieren...

Nur M$ hat momentan eine Alternative...

Stefan400 07. Jan 2011

... mit dem Namen Silverlight, nachteil ist, das dieses Webapplication derzeit im Netz...

Da fehlen mal wieder wichtige Infos

epyx 06. Jan 2011

Laut Computerbase sagt der Typ aber auch dass das ganze nur funktioniert, wenn man ne...

Gleiche Sandbox wie bei Adobe Reader X ?

Werni 06. Jan 2011

Weiss jemand ob das die gleiche Sandbox ist, die beim Reader ab Version 10 alles gut...

Artikel

Entlassungen

Amazon wirft weitere 9.000 Mitarbeiter raus

Mit der neuen Entlassungswelle hat Amazon nun 27.000 Mitarbeiter weniger.
Altersdiskriminierung in der IT

Schluss mit Projekten, Sie kochen hier nur noch Kaffee

Altersdiskriminierung betrifft in der IT nicht nur ältere, sondern auch junge Mitarbeiter. Ob bei Stellenausschreibung oder im Job - wann es lohnt, dafür vor Gericht zu ziehen.
Von Harald Büring
Solarstrom

Greenakku bietet Balkonkraftwerk mit Speicherakku an

Die Balkonkraftwerke von Greenakku sind ab sofort auch in Sets mit einem Akku verfügbar. So wird überschüssige Energie gespeichert.

Schnäppchen, Rabatte und Top-Angebote

Die besten Deals des Tages

• Daily Deals • Amazon Coupon-Party • MindStar: MSI RTX 4080 -100€ • Neue RAM-Tiefstpreise • Sandisk MicroSDXC 256GB -69% • Neue Wochendeals bei Media Markt • Bosch Professional-Rabatte • Otto Oster-Angebote • 38-GB-Allnet-Flat 12,99€/Monat • Meta Quest Pro 1.199€ • [Werbung]

Themen
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
#