HP veröffentlicht Sicherheits-Tool für Flash

24.03.2009
Das kostenlose Entwicklungswerkzeug "SWF Scan" durchforstet Applikationen, die auf Adobes Web-Technik basieren, nach Sicherheitslücken.

HP hat ein Sicherheitswerkzeug herausgebracht, das Schwachstellen in Anwendungen ermittelt, die auf Adobes verbreiteter, jedoch mitunter anfälliger Web-Technik Flash basieren. Zwar ist das HP-Tool nicht das einzige seiner Art – Flare oder SWF Intruder beispielsweise können ebenfalls Probleme mit Flash aufspüren.

Laut Hersteller ist SWF Scan jedoch das einzige Werkzeug, das sich mit den Flash-Versionen 9 und 10, der Flash-Skriptsprache Actionsript 3 sowie Flex, einem von Adobe eingesetzten, quelloffenen Web-Application-Framework, nutzen lässt.

SWF Scan, das Actionscript 2 und 3 in Original-Quellcode dekompiliert und das Anwendungsverhalten statisch analysiert, sucht nach rund 60 Schwachstellengattungen – darunter ungeschützte vertrauliche Daten, Cross-Site Scripting (XSS), Cross-Domain Privilege Escalation und nicht validierte Anwendereingaben. Problematische Zeilen im Quellcode hebt das Werkzeug optisch hervor und gibt Hilfestellung bei der Beseitigung der Mängel. Darüber hinaus soll es Schwachstellenreports aufbereiten und den Export von Quellcode in andere Tools ermöglichen.

Die Mehrheit der Flash-Applikationen weise in irgendeiner Form Sicherheitsmängel auf, konstatiert Billy Hoffman, Manager bei HPs Web Security Research Group, die das Tool in Zusammenarbeit mit Adobe entwickelt hat. Angesichts der Tatsache, dass sich Cyber-Kriminelle immer eingehender mit Flash beschäftigen, ist das nicht gerade beruhigend. Laut Hoffman haben die Entwickler des Tools rund 4000 Flash-Applikationen mit SWF Scan getestet und herausgefunden, dass 35 Prozent der Anwendungen die Security Best Practices von Adobe verletzen. (kf)