Niebezpieczny Flash
Firma Foreground Security odkryła w Adobe Flash błąd, który naraża na niebezpieczeństwo użytkowników olbrzymiej liczby witryn WWW. Dzięki tej dziurze przestępcy mogą zaatakować osoby korzystające z takich stron, które umożliwiają użytkownikom wgrywanie doń własnej zawartości.
Mike Bailey z Foreground mówi, że problem leży w polityce bezpieczeństwa Flash. Daje ona dostęp plikom tego typu tylko do obiektów znajdujących się w tej samej domenie. To jednak oznacza, że przestępca może załadować odpowiednio spreparowany szkodliwy plik Flash np. na swoje konto w serwisie społecznościowym i zaatakować innych użytkowników tego serwisu.
Odkrywcy dziury mówią, że łatwo ją wykorzystać. Przygotowali też prototypowy atak i wyjaśnili jego działanie. Posłużyli się tutaj przykładem forum, na którym użytkownicy mogą umieszczać własne avatary. Cyberprzestępca może zatem wgrać na serwer szkodliwy plik Flash, który wygląda jak avatar. Każdy, kto otworzy stronę z tym avatarem będzie narażony na atak.
Przedstawiciele Adobe, producenta Flasha, mówią, że problemu nie można usunąć wydając łatkę do Flasha. Ich zdaniem, problem leży w samym wykorzystywaniu aktywnych skryptów na witrynach WWW. Jeśli tylko użytkownicy mają prawo do wgrywania na witrynie własnych plików, mechanizm taki może zostać wykorzystany do przeprowadzenia ataku.
Bezpieczeństwo można zwiększyć przechowując pliki użytkowników w innej domenie, rezygnując z Flasha lub stosując mechanizmy blokujące tego typu elementy na stronie.
Komentarze (7)
Wolverine, 13 listopada 2009, 17:07
Tak jest z każdymi aktywnymi elementami na stronach, dlatego użytkownicy nie mogą umieszczać np swojego kodu JS który może by nic na komputerze złego nie zrobił ale odpowiednio spreparowany mógłby utrudnić pracę z przeglądarką.
Jurgi, 13 listopada 2009, 18:59
Dlatego (między innymi) dawniej w ogóle miałem wyłączone wtyczki w przeglądarce, dziś używam Flashblockera z ręcznym włącznikiem. Im więcej różnych technologii upchniętych na strony, tym większe ryzyko trafienia na dziury i luki. Na wielu stronach są poukrywane niewidoczne flashe, które służą do rejestrowania aktywności (statystyki i reklamy).
wilk, 13 listopada 2009, 18:59
Toż to nic innego niż stary dobry XSS (cross-site scripting). Ameryki ta firma nie odkryła.
Jurgi, 16 listopada 2009, 16:11
Stary, czy nowy, potwierdza starą zasadę: im więcej napakowanych różnorodnych technologii, tym więcej dziur i tym trudniej nad tym panować.
wilk, 16 listopada 2009, 17:12
I tak, i nie, bo to nie jest wina Flasha/Adobe, tylko złej polityki bezpieczeństwa aplikacji webowych. Równie dobrze winę ponosić będzie każdy inny wgrywalny aktywny content (np. Silverlight), a i nawet pliki jpg/ani (na niezałatanych kompach), a szpiegować można za pomocą każdego zdalnego avatara czy obrazka w sygnaturce. Tym niemniej Adobe powinno jednak dodać jeszcze jeden warunek do polityki "same origin".
w46, 17 listopada 2009, 10:54
Panikię sieją... To samo się tyczy uploadu plików html, js, css i wielu innych a nawet użycia znaczników html w treści umieszczanej przez użytkownika na stronie. Nie wiem dlaczego tak nagłośniony jest ten "błąd" który w rzeczywistości nie jest żadną luką Flasha tylko naiwnym podejściem twórców witryn Web2.0.
Wystarczy nie pozwalać na upload i wstawianie zewnętrznych plików z dynamiczną zawartością (html,js,css,swf,jre...) i po kłopocie.
Jurgi, 17 listopada 2009, 12:49
wilk, jeśli nawet to konkretnie nie jest winą Adobe, to jest multum innych luk w tej technologii, jak i w każdej innej, a ich kumulowanie się i nakładanie dodatkowo utrudnia ich eliminowanie.