Adobe wil consumenten tegen virusschrijvers beschermen met een veiligheidsupdate van Flash Player 9. Webontwikkelaars zijn bang dat hun Flash-applicatie daardoor op zwart gaat.
Het grafische bedrijf repareert begin april twee veiligheidslekken die boosdoeners in staat stellen om zogenoemde cross-site scripting (XSS)- en DNS rebinding-aanvallen uit te voeren via een Flash-webapplicatie. Beide zijn populaire methodes om persoonlijke gegevens te stelen via een achterdeur in online Adobe-software.
Programmeurs die achterlopen met hun beveiliging kunnen blijven zitten met een zwart scherm na de update. Applicaties die toegang bieden tot materiaal dat op een extern domein staat of draaien op een oudere versie van Flash, lopen de kans op aantasting. Adobe heeft een uitgebreide instructie gepubliceerd die de programmeurs bij de hand neemt.
Beveiligingsexperts zijn blij dat Adobe zijn online verantwoordelijkheid neemt met de update. “Er is voortdurende bezorgdheid over de mogelijkheid van XSS- en DNS rebuilding-aanvallen in de browser via JavaScript, Adobe Flash Player-applets (SWF-bestanden) of Java-applets”, zegt senior-onderzoeker Nishad Herath van McAfee.
Omdat steeds meer complexe webapplicaties Flash als spin in het web gebruiken, beginnen de websites steeds meer op desktopsoftware te lijken. Adobe belooft dat de update in april een strenger veiligheidsbeleid inluidt, met betere bescherming tegen malafide HTTP-headers en ongeautoriseerde socket-verbindingen. |
