Specjaliści odkryli serię poważnych luk we Flashu, mogących doprowadzić do wykradzenia danych osobowych osób odwiedzających dziesiątki tysięcy witryn.

Niebezpieczeństwo jest poważne, gdyż potencjalni atakujący mogą użyć mechanizmów XSS (cross-site scripting). Według autora odkrycia, w sieci można znaleźć ponad 500.000 plików SWF podatnych na ataki, umieszczonych na serwerach instytucji finansowych, administracji rządowej i innych organizacji.

Aktualnie jedyną obroną przed wykorzystaniem błędów przez atakujących jest fizyczne usunięcie plików SWF z serwerów. Opublikowane ostatnio poprawki dla Flasha nie rozwiązują problemu, przedstawiciele Adobe zapewniają, że patche na błędy pokażą się w ciągu kilku najbliższych tygodni. Adobe zaleca w międzyczasie blokowanie w przeglądarce zawartości Flash na ważnych witrynach.

Błędy występują w plikach SWF generowanych przez DreamWeaver, Connect, Breeze, TechSmith Camtasia, InfoSoft FusionCharts oraz oprogramowanie Autodemo. Odpowiednio wykorzystane, luki umożliwiają przejęcie nazw użytkownika, haseł oraz plików cookie użytkowników.