"SWFScan"

HP veröffentlicht Sicherheits-Tool für Flash

24.03.2009
Von pte pte
HP hat mit "SWFScan" ein kostenloses Werkzeug veröffentlicht, das mehr Sicherheit im Web 2.0 verspricht.
SWFScan dekompiliert Actionscript 2 und 3
SWFScan dekompiliert Actionscript 2 und 3

Das Tool hilft, gefährliche Lücken in Flash-Anwendungen aufzuspüren, die Hackern beispielsweise den Zugriff auf empfindliche Daten ermöglichen könnten. "Wenn Organisationen ihre Anwendungen mit Web-2.0-Technologien modernisieren, müssen sie wachsam sein, um Hackerangriffen und Sicherheitsmängeln bei Software vorzubeugen", betont Jonathan Rende, General Manager und Vice President, HP Products, Software and Solutions. Das SWFScan-Tool soll dazu einen wichtigen Beitrag leisten.

Adobes Flash Player findet sich laut HP auf über 98 Prozent aller PCs mit Internetverbindung und ist eine vielgenutzte Technologie im interaktiven Web 2.0. "Mit Flash entwickelte Anwendungen sind vor Sicherheitslücken nicht besser gefeit als andere Webanwendungen", warnt aber Gartner-Analyst Joseph Feiman. HP wiederum gibt an, dass sich bei einer Analyse von fast 4000 Flash-Web-Anwendungen zeigte, dass etwa 35 Prozent nicht Adobes Best Practices für Sicherheit genügen. Das könne von Hackern entsprechend ausgenutzt werden, um sich beispielsweise Zugang auf vertrauliche Informationen zu verschaffen. Um derartige Risiken im Web 2.0 zu reduzieren, will HP Flash-Entwicklern ermöglichen, sicherere Anwendungen zu gestalten, ohne sich dazu umfassende Sicherheitsexpertise aneignen zu müssen. Dazu ist SWFScan gedacht.

Das HP-Tool erlaubt den Entwicklern, ihre Flash-Programme nach bekannten Schwachstellen zu suchen, die von Hackern ausgenutzt werden könnten. Dazu zählen etwa schlecht geschützte Daten, Anfälligkeiten für Cross-Site- oder Cross-Domain-Angriffe sowie eine unzureichende Prüfung von Nutzereingaben. SWFScan ist laut HP das erste derartige Werkzeug, das Flash-Anwendungen dekompiliert und eine statische Analyse ihres Verhaltens durchführt. Das helfe, auch tief liegende Schwachstellen zu erkennen, die mit dynamischen Methoden nicht gefunden werden können. Durch das frühe Aufspüren von Lücken im Entwicklungsprozess könnten mit SWFScan Probleme verhindert werden, bevor Webanwendungen überhaupt online gehen, glaubt auch Brad Arkin, vom Adobe Secure Software Engineering Team. (pte)