Poważne dziury we Flashu

25 grudnia 2007 0 przez Michał Tomaszkiewicz

Specjaliści odkryli serię poważnych luk we Flashu, mogących doprowadzić do wykradzenia danych osobowych osób odwiedzających dziesiątki tysięcy witryn.

Niebezpieczeństwo jest poważne, gdyż potencjalni atakujący mogą użyć mechanizmów XSS (cross-site scripting). Według autora odkrycia, w sieci można znaleźć ponad 500.000 plików SWF podatnych na ataki, umieszczonych na serwerach instytucji finansowych, administracji rządowej i innych organizacji.

Aktualnie jedyną obroną przed wykorzystaniem błędów przez atakujących jest fizyczne usunięcie plików SWF z serwerów. Opublikowane ostatnio poprawki dla Flasha nie rozwiązują problemu, przedstawiciele Adobe zapewniają, że patche na błędy pokażą się w ciągu kilku najbliższych tygodni. Adobe zaleca w międzyczasie blokowanie w przeglądarce zawartości Flash na ważnych witrynach.

Błędy występują w plikach SWF generowanych przez DreamWeaver, Connect, Breeze, TechSmith Camtasia, InfoSoft FusionCharts oraz oprogramowanie Autodemo. Odpowiednio wykorzystane, luki umożliwiają przejęcie nazw użytkownika, haseł oraz plików cookie użytkowników.