Die waarschuwing gaf Rich Cannings, information security engineer bij Google, vorige week tijdens een presentatie op de CanSecWest beveiligingsconferentie.
Begin dit jaar maakte Cannings bekend dat Flash-bestanden die zijn aangemaakt met programma's als Adobe Dreamweaver en InfoSoft FusionCharts, misbruikt kunnen worden. Zijn collega Alex Stamos van securitytester iSEC waarschuwde de maand daarvoor voor hetzelfde probleem, toen zonder details te geven. Met behulp van een link die Javascript-code aan de kwetsbare Flash-bestanden voert, kan een aanvaller kwaadaardige code uitvoeren.
Nieuwe tools
Softwaremakers hebben hun verantwoordelijkheid voor de security-gevaren inmiddels genomen: zij hebben hun tools aangepast zodat XSS-aanvallen niet meer mogelijk zijn. Maar de waarschuwingen voor de mogelijke gevaren die kleven aan oude Flash-bestanden, blijken in het geval van de webontwikkelaars tot nu toe aan dovemansoren gericht.
Cannings testte een aantal sites die hij regelmatig gebruikt, en ontdekte dat elke website nog steeds op zijn minst één kwetsbaar .swf-bestand bevatte. "Er zijn nog steeds een hoop bugs", constateert hij mismoedig. Pas als de webontwikkelaars de oude Flash-bestanden op hun websites vervangen door nieuwe, verdwijnt het gevaar van een XSS-aanval.
Het is lastig om de omvang van het probleem precies vast te stellen. Maar toen Cannings zijn bevindingen over de mogelijke security-gevaren voor het eerst naar buiten bracht, stelde hij op basis van Google queries vast dat er 'honderdduizenden kwetsbare swf's zijn'. "Een flink percentage van de belangrijkste internetsites is getroffen." |
