Zelfs Google en Salesforce in de fout met patchen oud Flash-lek

In november 2011 werd een kwetsbaarheid in Adobes Flex Software Development Kit ontdekt die dat probleem in de hand werkte. Daar zat een vervelende bijkomstigheid bij: niet alleen de Flex SDK was kwetsbaar, ook alle webgebaseerde Flash-applicaties die gecompileerd waren met Flex 3.x en een aantal die gecompileerd waren met Flex 4.5 waren besmet met het lek. Deze SWF-bestanden dienden dus allemaal gerepareerd te worden.

Ook prominente sites in gebreke

Tijdens hun onderzoek merkten Carettoni en Gentile op, dat dat niet overal gebeurd is. En dat dan niet bij de eerste de beste. Ze vonden nog lekke SWF-bestanden aan bij onder andere Google, Yahoo, Salesforce en Adobe zelf. Hoe de situatie is bij minder prominente sites is onduidelijk, dat is niet onderzocht. Maar het belooft niet veel goeds als zelf de prominenten op internet in gebreke zijn gebleven.

Het is niet vreselijk moeilijk om die ongepatchte SWF-bestanden te vinden, daar zijn tools voor. Dat maakt het makkelijker voor hackers om ze te misbruiken. Maar een internetter zal er niet helemaal willoos slachtoffer van zijn: je moet eerst wel verleid worden een kwaadaardige website te bezoeken, wil en hacker zijn slag kunnen slaan. Maar het is natuurlijk wel altijd een risico waar je op bedacht moet zijn.

Carettoni en Gentile hebben de door hu ontdekte in gebreke gebleven webmasters gewaarschuwd, en roepen iedereen op alert te zijn op dit probleem en het bij eigenaren van websites te melden. Die moeten dan de patch aanbrengen met het tool dat Adobe in 2011 uitbracht, of de Flash-webapplicatie hercompileren met een nieuwere versie van de Flex SDK. Meer informatie is te vinden in hun blog; zoals ze daar ook melden, is er op github een tool beschikbaar om je website op voor dit lek ongepatchte SWF-bestanden te controleren.