Miljoenen flashbanners zouden gevoelig zijn voor cross-site scripting-aanvallen, omdat de gebruikte actionscript-code slordig is geschreven. Via exploits kan een aanvaller onder andere sessie-id's van een bezoeker buit maken.

De kwetsbaarheid in de betreffende flashbanners is te vinden in onzorgvuldig geschreven actionscript-code. De problemen ontstaan als in de flashcode de clicktarget-variabele niet goed wordt gecontroleerd. Hierdoor kunnen cross-site scripting-aanvallen op een website worden gelanceerd, bijvoorbeeld door javascript-code te injecteren. Hierdoor is het onder andere mogelijk om sessie-id's van een gebruiker te achterhalen als de gebruiker de betreffende banner aanklikt.

De xss-exploit werd al in november ontdekt door een Oekraïense beveiligingsonderzoeker. Via een eenvoudige zoekopdracht in Google constateerde hij onlangs dat miljoenen banners van de onveilige actionscript-code gebruik maken. Een van de oorzaken hiervan is dat de onveilige actionscript-snipets nog steeds als voorbeeldcode worden aangedragen. Ook wordt de code gebruikt in adserversoftware als phpAdsNew, OpenAds en OpenX.

Inmiddels zou de exploit al op grote schaal gebruikt worden door op veelbezochte websites aangepaste flashbanners te plaatsen. Onder andere de adserver van uitgever King Features zou zijn getroffen, wat de firma deed besluiten zijn advertentiesysteem uit de lucht te halen. Daarnaast zouden op het OpenX-advertentiesysteem gemanipuleerde flashbanners zijn geplaatst.

De beveiligingsgaten in Adobe Flash blijven een probleem. Onlangs werden nog problemen ontdekt met de configuratie van crossdomain.xml-bestanden. Deze exploit is potentieel gevaarlijker, omdat er geen gebruikersinteractie voor nodig is. Ook zijn er recentelijk beveiligingsgaten in Flash Media Server en Acrobat Reader blootgelegd die nog door Adobe gedicht moeten worden.

Bron: Tweakers.net 24 december 2009