Rzekomo groźna luka we Flashu nie zostanie załatana

15-11-2009, 21:30

Specjaliści z firmy Foreground Security poinformowali o znalezieniu luki, która pozwala osadzać na stronach szkodliwe obiekty Flash - można tego dokonać za pomocą formularzy do wgrywania plików. Zdaniem Adobe winę za to ponoszą webmasterzy, którzy dopuszczają, by użytkownicy przechowywali dodane przez siebie treści w zaufanej domenie.

Jak na firmowym blogu dowodzi Mike Bailey, błąd dotyczy zasady identycznego pochodzenia (ang. same-origin policy), zgodnie z którą potencjalnie niebezpieczne obiekty pochodzące z innej strony, niż aktualnie wyświetlona, zostaną zablokowane. Aby ominąć to zabezpieczenie, wystarczy skorzystać z formularza pozwalającego na dodawanie plików - projektanci aplikacji sieciowych umożliwiają zwykle umieszczenie ich w oryginalnej domenie.

Według ekspertów z Foreground Security zagrożenie jest naprawdę poważne. Wyobraźmy sobie następującą sytuację: twórca złośliwego obiektu Flash rejestruje się na forum i przesyła go na serwer jako swój avatar. Każdy, kto wyświetli ten obiekt w przeglądarce, stanie się celem ataku.

Czy można jednak za to winić Adobe? Faktem jest, że oprogramowanie tej firmy zaczyna przodować w liczbie wykrywanych błędów, co potwierdzają kwartalne raporty F-Secure. Pod koniec lipca Dziennik Internautów ostrzegał przed plikami PDF ze szkodliwą zawartością Flash. W omawianym przypadku żądanie załatania luki zdaje się jednak nie mieć sensu.

Jak w wypowiedzi dla serwisu Computerworld podkreślił Brad Arkin, dyrektor ds. bezpieczeństwa produktów Adobe, problem występuje na stronach obsługujących aktywne skrypty powstałe nie tylko w technologii Flash, to samo dotyczy JavaScriptu i Silverlighta. Jego zdaniem najskuteczniejszym sposobem wyeliminowania luki jest poinformowanie o niej webmasterów, którzy - dokonując odpowiednich modyfikacji - mogliby zapobiec nadużyciom.

Arkin nie widzi możliwości innego załatania dziury. Jej odkrywcy oczekują jednak od koncernu wydania poprawki. Według nich większość administratorów stron nie zdaje sobie sprawy z konieczności wprowadzenia zmian. Omawiany błąd występuje nawet w serwisie Adobe. Spośród zabezpieczonych witryn warto wymienić Windows Live Hotmail Microsoftu, Wikipedię oraz YouTube należące do Google (Gmail natomiast został podany jako przykład usługi narażonej na ataki).

Zdaniem specjalistów luka nie jest jeszcze wykorzystywana przez cyberprzestępców. Jak można się przed nią zabezpieczyć? Foreground Security doradza internautom zainstalowanie wtyczek blokujących próby uruchomienia złośliwego kodu, takich jak NoScript w przypadku Firefoksa lub ToggleFlash, który pomoże w zabezpieczeniu Internet Explorera


Źródło: Foreground Security, Computerworld
Tematy pokrewne:  

tag luki krytycznetag Flashtag exploittag atakitag Adobe
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Lipiec 2019»
PoWtŚrCzwPtSbNd
1234567
891011121314
15161718192021
22232425262728
293031