Ένα κενό ασφαλείας εντοπίστηκε στο Flash που μπορεί να βάλει σε κίνδυνο τόσο τους χρήστες όσο και τους servers. Η Adobe επαλήθευσε ότι η “συγκεκριμένη τρύπα” υπάρχει μέσα σε κάθε εφαρμογή που είναι βασισμένη σε Flash και επιτρέπει σε χρήστες να ανεβάζουν το δικό τους περιεχόμενο σε sites, συμπεριλαμβανόμενου του Gmail της Google.
Το πρόβλημα είναι πολύ μεγάλο σύμφωνα με τον Mike Murray, chief information security officer στην Foreground Security στο Orlando.
“Κάθε site που επιτρέπει στους χρήστες να ανεβάζουν περιεχόμενο είναι ευάλωτο και τα περισσότερα δεν έχουν ρυθμιστεί για να το αποφύγουν αυτό”.
Το πρόβλημα βρίσκεται κυρίως στo policy του Flash ActionScript που δίνει περιορισμένη πρόσβαση σε Flash αντικείμενα μόνο στο domain από όπου προέρχονται. Όμως αν ένας χρήστης ανεβάσει ένα επιβλαβές Flash αντικείμενο, τότε μόλις το δουν οι άλλοι χρήστες θα μολυνθούν. Για να καταλάβετε πόσο εύκολο είναι, ο Mike Bailey, senior security researcher στη Foreground, έδειξε σε ένα παράδειγμα στο blog της Foreground πόσο ευάλωτα είναι τα sites. Το μόνο που έχει να κάνει ο hacker είναι να δημιουργήσει ένα κακόβουλο Flash αντικείμενο. Στη συνέχεια πηγαίνει σε ένα forum που επιτρέπει στους χρήστες να ανεβάζουν μία εικόνα για avatar. Αν καταφέρει να ανεβάσει το κακόβουλο Flash αντικείμενο που να μοιάζει με εικόνα, τότε όποιος δει την εικόνα, ταυτόχρονα θα μολυνθεί.
H adobe υποστηρίζει ότι δεν είναι μόνο δικό της το λάθος, καθώς οποιοδήποτε active scripting (JavaScript, Silverlight) θα μπορούσε να χρησιμοποιηθεί για να βοηθάει τους χρήστες να ανεβάζουν αρχεία σε ένα site. Το σημαντικότερο όλων είναι η δήλωση της Adobe, ότι το συγκεκριμένο κενό ασφαλείας δεν γίνεται να καλυφθεί με κάποιο update στο Flash και ότι όλα βρίσκονται στα χέρια των διαχειριστών που τα sites τους χρησιμοποιούν Flash. Το ότι μας λέει ότι το μεγαλύτερο κενό ασφαλείας είναι “unpatchable”, εμένα δεν με βοηθάει καθόλου και πρέπει σύντομα να βρεθεί μία λύση.
[via TechSpot & ComputerWorld]