Kostenloses Tool von HP Scans für Flash-Schwachstellen

Hewlett-Packard hat veröffentlichte ein kostenloses Entwicklungswerkzeug, das Schwachstellen in Flash, der weit verbreiteten, aber gelegentlich fehlerhaften interaktiven Web-Technologie von Adobe, findet.

Das Tool SWFScan wurde für Entwickler ohne Sicherheitshintergrund entwickelt, so das Unternehmen auf einem seiner Blogs. Es wurde von HP Web Security Research Group erstellt.

HP sagte SWFScan verbindet andere Tools, die Probleme mit Flash erkennen können, wie Flare und SWFIntruder. Aber HP sagte, dass SWFScan der einzige ist, der mit Flash-Versionen 9 und 10 verwendet werden kann; ActionScript 3, die Skriptsprache von Flash und Flex, ein von Adobe verwendetes Open-Source-Webanwendungsframework.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

SWFScan wird ActionScript 2 und 3 in den ursprünglichen Quellcode dekompilieren und statische Analysen durchführen für mehr als 60 Sicherheitslücken, darunter Datenlecks, Sicherheitslücken im Zusammenhang mit Cross-Site-Scripting und domänenübergreifende Rechteausweitung, sagte HP.

Das Tool hebt störende Zeilen im Quellcode hervor und bietet auch Ratschläge zur Fehlerbehebung. Es wird einen Schwachstellenbericht formatieren und den Export von Quellcode für die Arbeit in anderen Tools ermöglichen, sagte HP.

HP hat SWFScan in rund 4.000 Flash-Anwendungen getestet und festgestellt, dass 35 Prozent gegen die besten Sicherheitspraktiken von Adobe verstoßen. Sechzehn Prozent der Anwendungen für Flash Player 8 und früher enthielten Schwachstellen bei Cross-Site-Scripting. Fünfzehn Prozent dieser Anwendungen mit Anmeldeformularen hätten Benutzernamen oder Kennwörter fest in der Anwendung codiert, sagte HP.

HP warnte, dass das Tool nur den Teil einer Flash-Anwendung betrachtet, der in einem Browser ausgeführt wird, und nicht auf diesen Teilen ein Server.