Diskusjonen startet med et innlegg 29. desember 2000 fra Neal Krawetz, en ingeniør som forklarte at han hadde brukt noen måneder på å undersøke en "buffer overflow" tilstand i Shockwave Flash (SWF). Krawetz sa han hadde reprodusert tilstanden på ulike operativsystemer - Windows, Mac, Solaris og Linux - og med nettleserne Netscape og Internet Explorer. Tilstanden utløses når tillegget prøver å spille av en feilkonfigurert SWF-fil fra et nettsted, og PC-en krasjer. Krawetz antok at det ville være mulig å skrive en SWF-fil som også formidlet og kjørte ondsinnet kode til PC-en.
Krawetz tok det forbeholdet at han ikke hadde undersøkt kildekoden til Shockwave Flash - selv om den er fritt tilgjengelig. Men han hadde henvendt seg flere ganger til Macromedia uten å få svar, og så ingen annen utvei enn å ty til Bugtraq.
Bugtraq-meldingen fikk de ansvarlige i Macromedia til å reagere momentant, og resultatet ble en samtale som Krawetz omtaler som svært givende.
Macromedias produktansvarlige Peter Santangeli bekrefter tilstanden med "buffer overflow", men skriver at etter omfattende testing, er han kommet fram til at feilen ikke kan utnyttes til å spre ondsinnet kode. Det verste som kan skje, er at en feilaktig SWF-fil krasjer klienten som prøver å laste den ned.
Santangeli legger til at Macromedia vil opprette en egen e-postadresse for rapporter om problemer knyttet til sikkerhets- og pålitelighetsproblemer i Flash.
BEDRIFTSTEKNOLOGI
Shockwave-lus kan ikke formidle virus
En diskusjon på Bugtraq ser ut til å konkludere med at en feil i Shockwave Flash, som er installert på 96 prosent av alle Internett-PC-er, ikke kan brukes til å spre virus.
BugtraqMacromedia
Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
