Det nyupptäckta säkerhetshålet gör det möjligt för en hackare att attackera nästan samtliga webbplatser på internet. Dessutom kan dessa attacker i sin tur användas för att köra skadlig kod på besökarnas datorer.

Problemet ligger i det sätt som Flash hanterar filer som kan laddas upp till en webbplats. Många webbplatser låter användarna ladda upp bilder och andra filer till webbplatsen för publicering.

Vissa webbplatser kontrollerar inte vilka typer av filer som användarna laddar upp. En hackare kan därför ladda upp en Flash-fil som innehåller skadlig kod. Flash-filen kan utnyttja ett tidigare rapporterat säkerhetshål i Flash som gör det möjligt att få tillgång till användarens dator.

Ett exempel på problemet är ett forum som låter användarna ladda upp sin bild, en så kallad avatar. En hackare kan ladda upp en skadlig Flash-fil som ser ut som en avatar-bild. Alla besökare som sedan tittar på ”bilden” kan utsättas för en attack.

- Potentialen är enorm. I stort sett alla webbplatser som låter användarna ladda upp filer är i riskzonen. Många webbplatser har heller inte restriktioner på vilka filer som kan laddas upp, säger Mike Murray på säkerhetsföretaget Foreground Security.

Adobe utfärdade i augusti en rad buggfixar som täppte till flera allvarliga säkerhetshål. Alla användare har dock uppdaterat till den senaste versionen av Flash vilket gör dem sårbara.

Enligt Adobe är det nyupptäckta säkerhetsproblemet inte en bugg utan beror på hur utvecklare använder Flash. Adobe uppger att företaget försökt utbilda utvecklarna hur de ska kan stänga säkerhetshålet, men har inte lyckats speciellt bra.

- Vi ser det här som ett generellt säkerhetsproblem som påverkar alla sajter som erbjuder dynamiskt innehåll, inte bara Flash, utan även tekniker som javaskript och Silverlight. Den här tekniken kan utnyttjas på alla webbplatser som låter användarna ladda upp filer, säger Adobes säkerhetschef, Brad Arkin.

IDG News