Luka związana z luką w zabezpieczeniach na wielu witrynach trzy lata później

Pliki Flash, które są podatne na poważną lukę załataną przez Adobe Systems ponad trzy lata temu nadal istnieją na wielu stronach internetowych, narażając użytkowników na potencjalne ataki.

Luka, znana jako CVE- 2011-2461, został znaleziony w pakiecie programistycznym Adobe Flex (SDK) i został naprawiony przez Adobe w listopadzie 2011 r. Narzędzie programistyczne, które od tego czasu zostało przekazane na rzecz Apache Software Foundation, umożliwia użytkownikom tworzenie wieloplatformowych, bogatych aplikacji internetowych w programie Flash.

Luka w zabezpieczeniach była niezwykła, ponieważ jej naprawa nie wymagała aktualizacji pakietu SDK Flex, ale również łatania wszystkich poszczególnych aplikacji Flash (plików SWF), które zostały utworzone w podatnych wersjach pakietu SDK .

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Zgodnie z notatką techniczną firmy Adobe w tym czasie wszystkie aplikacje Flash oparte na sieci Web skompilowane za pomocą programu Flex 3.x i niektóre z wersji Flex 4.5 były podatne na ataki . Firma wypuściła narzędzie, które pozwoliło programistom na łatwe naprawianie istniejących plików SWF, ale wielu z nich tego nie robiło.

W zeszłym roku inżynierowie bezpieczeństwa aplikacji internetowych Luca Carettoni z LinkedIn i Mauro Gentile z Minded Security natknęli się na stary błąd podczas badania Oparte na technologii Flash pomijanie mechanizmu Zasad Zgodności (SOP) znalezionego w przeglądarkach.

SOP zapobiega temu, aby treści skryptowe załadowane z jednej strony internetowej - lub pochodzenie - wpływały na zawartość innej witryny. Na przykład skrypt hostowany na stronie X, który jest ładowany przez witrynę Y w elemencie iframe, nie powinien być w stanie odczytać treści poufnych dotyczących odwiedzających witryny innej witryny, takich jak pliki cookie uwierzytelniające. Witryna Y nie powinna również uzyskiwać informacji o użytkownikach witryny sieci Web po prostu poprzez załadowanie z niej zasobu.

Bez tego mechanizmu każda złośliwa strona mogłaby się załadować, na przykład Gmail w ukrytym elemencie iframe i po uwierzytelnieniu użytkowników Gmaila odwiedź złośliwą witrynę, może ukraść pliki cookie uwierzytelniające Gmaila.

Według Carettoni i Gentile, usterka Flex umożliwia takie ataki. Umożliwia to również złośliwemu serwisowi WWW ładowanie podatnego pliku SWF z docelowej witryny sieci Web, a następnie wykonywanie nieautoryzowanych działań w imieniu użytkowników tej witryny podczas odwiedzania złośliwej strony sieci Web.

Znaleźli pliki SWF, które wciąż były podatne na ataki w Google, Yahoo , Salesforce, Adobe, Yandex, Qiwi i wiele innych stron. Po powiadomieniu o zaatakowanych stronach internetowych, przedstawili oni swoje ustalenia w zeszłym tygodniu na konferencji bezpieczeństwa Troopers 2015 w Niemczech.

Jednakże, biorąc pod uwagę sytuację znalezioną na wysokoprofilowych stronach internetowych, wiele innych witryn prawdopodobnie zawiera podobnie podatne pliki SWF pliki.

"Wciąż istnieje wiele stron internetowych, w których znajdują się podatne na atak pliki SWF" - powiedzieli dwaj naukowcy w poście na blogu. "Pomóż nam uczynić internet bezpieczniejszym miejscem, zgłaszając wrażliwe pliki do właścicieli odpowiednich witryn."

Naukowcy wydali na GitHub narzędzie do testowania SWF o nazwie ParrotNG i napisane w języku Java.

Jeśli istnieje znajdują się pliki podatne na atak, powinny zostać załatane za pomocą narzędzia Adobe wydanego w 2011 roku lub zrekompilowane nowszymi wersjami pakietu Apache Flex SDK.