Flash-lokale Dateien auslesen

Mackz

Mackz

Member of Honour
In dem Macromedia Flash Plugin bis Version 6.0.47.0 ist ein bug aufgetaucht.
Dieser ermöglicht das Auslesen von beliebigen lokalen Dateien des Surfers.
Beispielsweise können so für einen Angreifer interessante Dateien im Hintergrund ausgelesen und ihm deren Inhalt z.b. über eine PHP Datei unbemerkt per mail zukommen gelassen werden.
Ermöglicht wird dies durch einen Fehler in dem XML Objekt.

-> Beispiel Flash (kann bedenkenlos aufgerufen werden)

Mit einem Update auf die neueste Pluginversion wird dieses Problem behoben: http://www.macromedia.com/de/downloads/
 
Ach du Kacke das geht wirklich.
Wie genau geht das? Ich will keinen Hacken, Cracken oder sonst was, mich interessierts nur. Ich hätte eh keine Homepage wo ich sowas drauftun könnte. Mich interressiert nur die Technik dahinter.

mfg
Noob
 
Das ist eigentlich ganz einfach.
Mit dem xml Objekt ist es möglich Dateien zu lesen.
Solange du das swf lokal auf deinem Rechner laufen hast kann man auch lokale Dateien lesen, was allerdings normalerweise nicht mehr funktioniert sobald die Datei online ist!
Wenn man nun dem Flash vorgaukelt es würde sich immernoch auf der Festplatte befinden kann man weiter die lokalen Dateien auslesen...
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben