[gullinews]

Vor wenigen Wochen schlugen Forscher von Google und einer Sicherheitsfirma Alarm. Es wurde entdeckt, dass es eine große Anzahl von swf-Dateien im Netz gäbe, die potentiell Cross-Site-Scripting (XSS) Attacken möglich machen würden. Problematisch bei Behebung dieser Sicherheitslücke ist, dass vielen Webmastern die Sicherheitslücke nicht bewußt ist und vor allem, dass es kein Patch gibt um das Problem schnell zu beheben. Viele Seitenbetreiber müssten die Flash-Dateien neu generieren. Angeblich sollen auch Banken und andere als sicher geltenden Webseiten gefährdet sein. Google hat sogar ihren Suchalgorithmus modifiziert um weniger potentiell schadhafte Dateien zu referenzieren.

In Expertenkreisen ist das Problem vor wenigen Wochen bekannt geworden. Es soll vor allem Flash-Dateien betreffen, die mit nutzergenerierten Inhalten genutzt werden, beispielsweise Video-Player oder andere Applikationen mit Texteingabe. Diese Texteingabe soll einen unbefugten Zugriff auf Daten der Website ermöglichen - eine sogenannte Cross-Site-Scripting (XSS) Attacke.


weiterlesen

[Affenart]

Da beisst sich die Katze in den Schwanz, hehe...

Schon letzten Sommer waren die Infos auf entsprechenden Seiten bekannt,
die es dank neuer Gestze nicht mehr gibt. Oh! Aber Google darf noch cachen

So bleibt das Wissen darum den Chinesen und Russen vorbehalten.

Einfach lächerlich, wie Rolli-Wolli dafür sorgt, daß wir in Unwissenheit untergehen.
Aber verdient hat es dieses Land! Ick sach nur auswandern

Oder wer hackt Wumzinkels UBS-Konto ?

[chatnick]

Unfassbar!!!!!!!!!!!

Kaum spricht Adobe von Flash/SWF mit DRM sind ein Teil der Alten .swf´s
ein »Sicherheitsrisiko«.

es muss natürlich was neues won Adobe herr,
was auch DRM kann.

Genauso wie Adobe erst ab Sreative Suite 3 Vista unterstützt, aber kein
Patch rasbringt um älter Apps Vista tauglich zu machen.

Da passt wieder mal die Faust aufs Auge, wie schon so oft.
Es wird wohl keine Pachts geben, erst ein Flash/Director mit DRM wird
»sicher« sein!
Wie immer eben, alles beim alten im Adobelande.

[zresu]

Wieso kann Google eigentlich solche Daten aussperren?

Ist auch irgendwie Zensur...

[Kontrolltroll]

DNS Rebinding kommt zudem noch dazu... das ist direkt kein XSS, aber trotzdem effektiv das Gleiche: da Browser nen (hierarchischen) DNS Request setzen, und die erste Antwort als richtig für bare Münze nehmen.

So kann man iFrame natürlich, in denen Flash sitzt, wunderbar überblenden. - Wie schön, dass das Web ein verteiltes System ist . Vom Core Design her war das nie so gedacht wie es benutzt wird...
Letzten Endes: wenn ne Bank Flash (Werbung) einsetzt hat sie echt den Schuss nicht gehört.

[StaTiC]

Zitat:

Die Datei oder die Seite http://www.gulli.com/news/cross-site...le-2008-03-27/ ist nicht vorhanden!

hmm hätte gerne das ganze mal gelesen

[Kugelfisch23]

Die News ist falsch verlinkt. Hier ist die richtige.