Lek in Flash-speler opent deur voor hackers

Macromedia waarschuwt Windows- én Linux-gebruikers

12 augustus 2002 | Jeff Ronge De Flash Player heeft een zwakke plek waardoor kwaadwillenden aanvallen kunnen uitvoeren op zowel Windows- als Linux-systemen. Dat heeft fabrikant Macromedia maandag bekendgemaakt.

Daarnaast hebben onderzoekers volgens Macromedia een bug ontdekt waarvan een aanvaller gebruik kan maken om bestanden te lezen op de lokale harde schijf van een gebruiker. De zwakke plekken in de software zijn ernstig, aangezien de Flash Player een wijdverspreide applicatie is. Macromedia schat zelf dat 90 procent van de wereldwijd gebruikte pc's in staat is Flash-content af te spelen.

De eerste zwakke plek, ontdekt door EEye Digital Security, wordt duidelijk wanneer een aangepaste header in een swf-videobestand een buffer overrun veroorzaakt in de Flash Player. Macromedia merkte overigens op dat deze 'misvormde' headers alleen te maken zijn met behulp van een binaire editing tool. Met de Flash authoring tool zijn ze niet te creëren.

Het lek zit in alle Flash-versies voor de Windows- en Unix-platforms voor 6,0,40,0, aldus Macromedia. Om er gebruik van te maken is geen browser nodig, want het werkt via elke applicatie die in staat is geïntegreerde swf-bestanden te lezen, waaronder e-mails en IM-berichten.

Het tweede lek werd vorige week al ontdekt door de Nederlandse programmeur Jelmer Kuperus. Hij signaleerde een gat in de xml-functionaliteit van de Flash Player 6, en mogelijk ook andere versies, ddat een aanvaller in staat stelt de bestanden op de harde schijven van argeloze gebruikers te lezen.

Beide lekken zijn inmiddels gedicht in de nieuwste versies van de Flash-spelers, te vinden op Macromedia's download-pagina

Met bijdragen van Matthew Broersma. Lees meer artikels over : flash, lekken, macromedia

bron: ZDNet