Szczegóły dotyczące dziur w apletach Flasha
0000-00-00 00:00:00
Reklama:
Pod koniec ubiegłego roku grupa ekspertów bezpieczeństwa z firmy Google ostrzegła opinię publiczną o niebezpieczeństwie przeprowadzania ataków Cross-Site Scripting (XSS) z użyciem apletów Flasha. Większość ataków polega na przemycaniu w ten sposób kodu JavaScript, który wykonany zostanie w przeglądarce użytkownika odtwarzającego zmanipulowany obiekt. Dzięki temu intruz może odczytywać zawartość plików cookie i zapisane w nich hasła lub przeprowadzać operacje w obrębie witryny, z której użytkownik korzysta, np. dodawać wpisy czy komentarze w blogu.
W raportach dotyczących usterek możemy wyczytać, że luki znaleziono w różnych narzędziach, są to: Adobe Dreamweaver, Adobe Acrobat Connect (znanym też pod nazwą Macromedia Breeze), InfoSoft FusionCharts i Techsmith Camtasia. Pliki SWF tworzone przez te aplikacje znaleźć możemy na wielu witrynach WWW. Oznacza to, że problemem dotknięte może być w przybliżeniu kilkaset tysięcy apletów Flash umieszczonych w światowej Pajęczynie, z czego niewielki odsetek stanowią duże i popularne witryny, np. strony urzędów czy banków.
Co więcej, problem ten nie jest ograniczony tylko do wymienionych produktów. Zgodnie z raportem są to narzędzia, w których już poprawiono błędy, wydając nowe edycje. Kłopot mają także dostawcy zawartości stron i designerzy, którzy tworzą flashowe aplikacje dla swoich klientów, używając podatnych na usterki programów.
Jednak najpoważniejszym problemem jest to, że w plikach SWF można umieszczać szkodliwy kod napisany w języku ActionScript. Kod ten, wciąż taki sam, może być umieszczany w pliku SWF za każdym razem, gdy ten jest przechowywany, a następnie eksportowany. Można go użyć, aby wywołać fragment kodu JavaScript, który został wprowadzony jako argument. Wszystko to odbywa się w kontekście odwiedzanej strony, więc mechanizmy bezpieczeństwa przeglądarki pozwolą na to, by przemycony skrypt się wykonał, nawet jeśli kod wprowadzany jako argument pochodzi z zupełnie innej domeny. Jednak warunkiem koniecznym jest tutaj kliknięcie przez użytkownika odpowiedniego linku. Na przykład, w przypadku Dreamwavera wygląda on tak:
Z kolei w przypadku oprogramowania FusionCharts InfoSotfu mamy do czynienia z luką, która potrafi ładować pliki SWF podane w odnośniku:
Zaktualizowane wersje wtyczki Adobe Flash Player , które pojawiły się w grudniu, blokują możliwość ataku polegającego na użyciu uchwytu protokołu
[1] XSS Vulnerabilities in Common Shockwave Flash Files , raport Richa Canningsa
[2] Password stealing for dummies , heise Security UK
0000-00-00 00:00:00
Reklama:
January 4th, 2007 by Author
Posted in Suspendisse iaculis | Edit | 23 Comment »
-
Przeczytaj
- SII
- Bankowość
- Książki
- Tenis
- Estrada
- Z życia
- Maszyny do pakowania
- Budownictwo
- Agencje-fotograficzne
- SEM
- Nauka-jazdy
- Sprzet-medyczny
- Kosmetyki,Uroda
- Rolety,Żaluzje,Okna
- gry_komputerowe
- Jubiler,Biżuteria
- RTV,AGD
- Motocykle
- Stomatologia,Zdrowie
- mieszkania_nieruchomosci
- Dj,Muzyka,Dyskdzokej
- nauka_języków
- tv_kamery
- dla_dzieci
- dostawa_wody
- drukarnia_wielkoformatowa
- wynajem_aut
- wynajem_aut
- łazienka
- meble_ogrodowe
- okna_drzwi
-
Sprawdź także
- Ciekawy temat
- Warto wiedziec
-
Archiwum
- 2012 Luty
- 2012 Styczeń
- 2011 Grudzień
- 2011 Listopad
- 2011 Październik
- 2011 Wrzesien
- 2011 Sierpień
- 2011 Lipiec
- 2011 Czerwiec
- 2011 Maj
- 2011 Kwiecień
- 2011 Marzec
- 2011 Luty
- 2011 Styczeń
- 2010 Grudzień
- 2010 Listopad
- 2010 Październik
- 2010 Wrzesien
- 2010 Sierpień
- 2010 Lipiec
- 2010 Czerwiec
- 2010 Maj
- 2010 Kwiecień
- 2010 Marzec
- 2010 Luty
- 2010 Styczeń
- 2009 Grudzień
- 2009 Listopad
- 2009 Październik
- 2009 Wrzesien
- 2009 Sierpień
- 2009 Lipiec
- 2009 Czerwiec
- 2009 Maj
- 2009 Kwiecień
- 2009 Marzec
- 2009 Luty
- 2009 Styczeń
- 2008 Grudzień
- 2008 Listopad
- 2008 Październik
- 2008 Wrzesien
- 2008 Sierpień
- 2008 Lipiec
- 2008 Czerwiec
- 2008 Maj
- 2008 Kwiecień
- 2008 Marzec
- 2008 Luty
- 2008 Styczeń