Poważna luka w Adobe Flash

Poinformowano o nowej, ułatwiającej atak luce we Flashu, jednakże szef działu bezpieczeństwa Adobe, Brad Arkin, wzrusza ramionami stwierdzając, że odkrycie to “żaden gorący news”.

Luka umożliwia zaatakowanie jakiegokolwiek serwisu, który pozwala odwiedzającym go internautom na uploadowanie zawartości.

Arkin rozkłada ręce, twierdząc, że tego typu kwestia jest niemożliwa do załatania, zaś odpowiedzialność za bezpieczeństwo odwiedzających serwisy internautów leży w kwestii administratorów.

Alarm wszczął Mike Bailey z Foreground Security – nazwał on lukę “zastraszająco niebezpieczną” – użycie tak drastycznego określenia tłumaczy liczba stron internetowych pozwalających użytkownikowi na “wrzucanie” zawartości.

”Każdy z serwerów, który pozwala na niekontrolowane uploadowanie zawartości ułatwia przeprowadzenie ataku typu cross-site scripting” – napisał Bailey na swoim blogu.

Cyberprzestępca może bowiem umieścić na webserwerze złośliwy obiekt flash, a następnie wykonać skrypt w kontekście tej domeny. W ten właśnie sposób będzie w stanie infekować odwiedzających serwis użytkowników złośliwym oprogramowaniem.

Na atak podatne są przede wszystkim serwisy społecznościowe, portale zawodowe, a nawet strony agencji rządowych.

Adobe powinno opublikować poprawkę, która zostanie zainstalowana po stronie klienta, a nie oczekiwać, aż administratorzy serwisów zajmą się kodowaniem – przyznał Bailey.

„To żaden news. Ten temat jest nam znany od lat. Gdy mamy do czynienia z serwisami tworzonymi częściowo przez użytkowników, zawsze jest mowa o ryzyku” – twierdzi z kolei Arkin.

Według Arkina administratorzy stron powinni filtrować aktywna zawartość „wrzucaną” przez użytkowników, a także przechowywać ją w innej domenie, aniżeli zaufana.

źródło: www.securecomputing.net.au