Adobe will Clipboard-Attacke durch Flash Player unterbinden
Bei den bekannt gewordenen Angriffen auf Besucher von Newsweek, Digg und MSNBC schrieben Flash-Werbebanner die URL zu einer Seite in das Clipboard, auf der ein vermeintlicher Online-Antiviren-Scanner den Nutzer mit der Nachricht über eine Infektion des PC erschreckte, um sie zum Kauf von Software zu überreden. Der Angriff auf das Clipboard funktioniert sowohl unter Windows und Linux als auch auf Apple Mac OS X.
Ursache des Problems ist die Funktion System.setClipboard, mit der in Flash eingebettetes ActionsScript ohne Weiteres das Clipboard beschreiben darf. In Version 10 soll die Funktion nur durch Nutzerinteraktionen aufgerufen werden können, etwa bei Maus-Klicks oder Tastatureingaben. Darüber hinaus sollen in ActionScript 3.0 auch die Funktionen Clipboard.generalClipboard.setData und Clipboard.generalClipboard.setDataHandler davon beeinflusst werden. Möglicherweise funktionieren deshalb aber auch andere, nicht sicherheitsrelevante Flash-Applets im Flash Player 10 nicht mehr einwandfrei.
Zwar bringt Version 10 noch weitere Sicherheitsverbesserungen mit sich, allerdings ermöglicht sie dem Player auch erstmals den Lesezugriff auf die Zwischenablage. Adobe will den Missbrauch einschränken, in dem die neu eingeführte Funktion Clipboard.generalClipboard.getData nur von einem Event-Handler aufgerufen werden darf, der gerade einen flash.events.Event.PASTE-Event verarbeitet, also eine Nutzerinteraktion zum Einfügen. Ob diese Restriktion ausreicht, um das Clipboard vor den Zugriffen durch präparierte Webseiten zu schützen, müssen Tests der finalen Version 10 zeigen.(Quelle:Heise.de)
Siehe dazu auch:
- Understanding the security changes in Flash Player 10 beta, Blogeintrag von Trevor McCauley
Labels: Adobe will Clipboard-Attacke durch Flash Player unterbinden
Eingestellt von megablaster Am/um
9/23/2008 10:42:00 AM
0 Kommentare:
Kommentar veröffentlichen
Abonnieren Kommentare zum Post [Atom]
<< Startseite