Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 14/5/2009
Over et år efter, at en alvorlig sårbarhed i Flash blev fundet og rettet, indholder mange websteder fortsat sårbare Flash-præsentationer.Det oplyser webstedet Xssed, der fører statistik over sårbarheder af typen cross-site scripting (XSS). Det er sårbarheder, der blandt andet giver angribere mulighed for at lade et websted fremstå som et andet eller afvikle programkode i offerets browser.
Sårbarheden findes i Flash-præsentationer, der er genereret med værktøjer som DreamWeaver, Contribute og andre. Værktøjerne blev rettet i starten af 2008.
For at fjerne sårbarheden skal administratorerne af websteder slette deres sårbare Flash-præsentationer, opdatere deres værktøjer, generere nye udgaver af præsentationerne ud fra de oprindelige kildefiler og publicere dem på web. Den arbejdsbyrde, det medfører, kan være årsag til, at mange sider ikke er blevet rettet.
En metode til at gennemføre cross-site scripting på er at kalde funktionen getURL med parameteren clickTAG. En søgning viser, at der er hundredetusinder af websteder, der anvender den parameter. Hvor mange af dem, der er sårbare, viser søgningen ikke.
Ifølge Xssed er en Flash-præsentation på Adobes eget websted sårbar.