• IT-Karriere:
  • Services:

Flash Player

Angreifer können lokale Daten auslesen

Die Sandbox von Adobes Flash-Player lässt sich umgehen, so dass Anwender lokale Dateien auf Clients auslesen und an ihre eigenen Server senden können, hat der Sicherheitsexperte Billy Rios herausgefunden.

Artikel veröffentlicht am ,

Die sogenannte "local-with-filesystem sandbox" von Flash Player soll es Flash-Applikationen ermöglichen, auf lokale Dateien zuzugreifen, aber zugleich verhindern, dass diese Daten an Server übertragen werden können. Doch der Mechanismus lässt sich leicht umgehen, wie der Sicherheitsexperte Billy Rios herausgefunden hat.

Stellenmarkt
  1. Webasto Group, Gilching
  2. Omikron Data Quality GmbH, Berlin, Pforzheim

Laut Murray lassen sich Zugriffe, die eigentlich nur lokal funktionieren sollten, doch auf externe Server lenken und so Daten an diese übermitteln. Er kritisiert, dass Adobe auf eine Blacklist mit Protokoll-Handlern setzt, und zeigt auf, dass diese lückenhaft ist.

Als Beispiel führt er den Protokoll-Handler "mhtml" an, der von Windows 7 standardmäßig unterstützt wird. Da dieser in der Blacklist fehlt, würden entsprechende Aufrufe nicht durch den Flash-Player angefangen, so dass sich Daten aus der Sandbox an einen Server übertragen lassen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Angebote zu Spielen, PC- und Konsolen-Zubehör, Laptops, Monitore, Fernsehern uvm.)
  2. (u. a. Viewsonic VX2718 27 Zoll Curved WQHD 165Hz für 253,99€, Samsung G7 27 Zoll QLED Curved...
  3. (u. a. Raspberry Pi 400 Mini-PC für 71,90€, Biostar B560GTQ Mainboard für 139,90€, Biostar...
  4. (u. a. Akku-Bohrhammer für 306,99€, Akku-Winkelschleifer für 193,30€)

Lala Satalin... 07. Jan 2011

Aber dann muss der DAU ja für jede neue Seite, die er braucht den ganzen Kram aktivieren...

Stefan400 07. Jan 2011

... mit dem Namen Silverlight, nachteil ist, das dieses Webapplication derzeit im Netz...

epyx 06. Jan 2011

Laut Computerbase sagt der Typ aber auch dass das ganze nur funktioniert, wenn man ne...

Werni 06. Jan 2011

Weiss jemand ob das die gleiche Sandbox ist, die beim Reader ab Version 10 alles gut...

AufDemTeppichBl... 06. Jan 2011

Naja, klar ist das ne Lücke, aber das Problem tritt ausschließlich dann auf, wenn man ein...


Folgen Sie uns
       


Resident Evil Village - Fazit

Im Video stelle Golem.de die Stärken und Schwächen des Horror-Abenteuers Resident Evil 8 Village vor.

Resident Evil Village - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /