De actionscript-code in miljoenen flashbanners is slordig geschreven. Hierdoor zouden de banners gevoelig zijn voor cross-site scripting-aanvallen. Een aanvaller kan onder andere sessie-id’s van een bezoeker via exploits te pakken krijgen.
Een Oekraïense beveiligingsonderzoeker ontdekte het grote beveiligingslek al in november. Het lek ontstaat als in de flashcode de clicktarget-variabele niet of slecht wordt gecontroleerd. Hierdoor kan bijvoorbeeld javascript-code worden geïnjecteerd en zo de website aangevallen worden. Op deze manier is het mogelijk om sessie-id’s van een gebruiker te achterhalen, doordat deze op de banner klikt.
Adobe Flash kampt al langer met beveiligingslekken. Een tijd geleden werd een lek in de configuratie van crossdomain.xml-bestanden ontdekt. Aangezien de interactie van een gebruiker bij deze exploit niet nodig is, is deze potentieel gevaarlijker. Ook moeten de recentelijk ontdekte lekken in Flash Media Server en Acrobat Reader nog door Adobe gedicht worden.
De onderzoeker ontdekte het lek door simpelweg te googelen. Hij constateerde dat miljoenen, naar een eigen berekening zelfs 42 miljoen, banners onveilige actionscript-code gebruiken. De redenen voor het gebruik van de code zijn dat deze wordt gebruikt in adserversoftware als Openads, Openx en phpAdsNew. Ook worden de delen van de code nog steeds in Flash-voorbeelden gebruikt.
De xss-exploit zou al veel gebruikt worden door op drukke sites aangepaste flashbanners te plaatsen. De adserver van King Features zou onder andere getroffen zijn. Dit resulteerde in de noodzaak het advertentiesysteem uit de lucht te halen. Ook zouden op het Openx-advertentiesysteem aangepaste banners geplaatst zijn.
9 uur geleden
