HP hat ein kostenlose Analysetool für kompilierte Flash/Flex-Anwendungen veröffentlicht. Das Tool kompiliert SWF-Dateien (AS2 und AS3 kompatibel) und analysiert den entstandenen Quellcode. Dabei wird der Code laut HP auf mehr als 60 potentielle typische Sicherheitsprobleme wie z.B. hartcodierte URLs, Passwörter und Secrets (z.B. Schlüssel für symmetrische Verschlüsselung) sowie XSS/Crossdomain-Hacks untersucht. Der Entwickler erhält einen ausführlichen Report, der die “Problemzonen” aufzeigt und gibt Tipps für die Lösung.

Jeder, der seinen SWFs mal auf den Zahn fühlen möchte, sollte sich das Tool anschauen. Unabhängig von der Tatsache, dass es mittlerweile auch Decompiler für 9/10er SWFs gibt, sollte man sich aufgrund der Tatsache, dass SWFs kompiliert sind nicht in falscher Sicherheit wiegen. Und: oftmals ist eine ungeprüfte und ungesicherte Kommunikation zwischen SWF und Server das größere Sicherheitsproblem.

Links:

• Meldung bei heise security
• Ankündigung bei HP
• SWFScan Homepage

Gruß,
Dirk.

Adobe hat ein Update für eine als kritisch betrachtete Sicherheitslücke im aktuellen Flash Player 10 veröffentlicht. Es wird dringend empfohlen dieses Update sofort und manuell zu installieren. Zwar aktualisiert sich der Flash Player automatisch, die Standardeinstellung dafür ist aber, dass nur alle 30 Tage auf ein Update geprüft wird.

Da dieses Problem auch in Flash Player 9 besteht und dieser noch nach wie vor im Einsatz ist, wurde auch für den 9er Player dieser Patch veröffentlicht.

Die aktuellsten Versionen sind somit 10.0.22.87 (Flash Player 10) bzw. 9.0.159.0 (Flash Player 9)

Infos und Links:

• Meldung bei heise
• Security Bulletin von Adobe
• Welche Playerversion ist installiert?

Wichtig für Entwickler: auch die installierten Debug-Versionen sollten unbedingt gepatcht werden, die jeweiligen Downloads finden sich hier! Bei Besuch der offiziellen Flash Player Seiten werden nur die Release-Versionen aktualisiert, die Debug-Player müssen manuell aktualisiert werden!

Gruß,
Dirk.