Adobe Flex anfällig für Cross-Site Scripting

Das Flex Software Development Kit (SDK) ist ein kostenloses Open-Source-Applikations-Framework. Es bietet eine Sammlung von Werkzeugen und Anwendungen, die Entwickler benutzen, um eigene Anwendungen für eine Vielzahl von Geräten und Plattformen zu schreiben. Adobe bietet damit optimale Möglichkeiten Apps für iOS, Android, BlackBerry und das Web zu erstellen.

Eine jüngst entdeckte Sicherheitslücke in der Entwicklungsumgebung Adobe Flex kann allerdings für eine Cross-Site Scripting-Attacke missbraucht werden. Dabei nützen Angreifer eine Lücke in Webanwendungen, um Informationen aus einem nicht vertrauenswürdigen Kontext in einen vertrauenswürdigen Kontext einzufügen, damit sie als vertrauenswürdig eingestuft werden. Aus diesem vertrauenswürdigen Kontext heraus werden dann Angriffe gestartet, um bevorzugt an sensible Daten von Benutzern zu gelangen. So können beispielsweise Benutzerkonten übernommen werden. Die Sicherheitslücke betrifft das Flex-SDK für Windows, Macintosh und Linux. Betroffen sind die Flex-Versionen 4.5.1 und 3.6 deren Vorgänger für Windows, Mac und Linux.

Diese Lücke hat Adobe inzwischen geschlossen und ein Sicherheitsupdate herausgebracht. Der Hersteller fordert die Anwendungsentwicklern im Security Bulletin zu Adobe Flex auf, ihre Versionen auf anfällige Flash Dateien (.swf) zu überprüfen und das Software Development Kit bei Bedarf auf die neueste Version zu aktualisieren. Hat ein Benutzer festgestellt, dass seine Anwendung verwundbar ist, bieten sich zwei Möglichkeiten: Zum einen kann das App repariert werden, und zum anderen kann das Update installiert werden, um so das App wieder neu aufzubauen.

Adobe bietet in dem Security Bulletin eine genaue Beschreibung, wie anfällige Flash-Inhalte identifiziert und repariert werden können. Allerdings kann es zu Problemen mit dem Patch-Tool kommen. Das betrifft insbesondere das ModuleLoader, wenn Anwendungsbestandteile über unterschiedliche Domains geladen werden.