500000 flash файлів на популярних сайтах уразливі до XSS

19:39 31.12.2007

Експерти безпеки Google попереджають про небезпечні уразливості в безпеці flash-аплетів. Вони стверджують, що в рамках спільного зі співробітниками фірми iSEC розслідування виявили, що більш ніж 500000 flash-файлів, розміщених на популярних веб-сайтах, відкриті для атак за допомогою міжсайтового скриптінга (XSS). Дослідники говорять, що навіть останні оновлення безпеки Adobe Flash Player не забезпечують захисту від небезпек, що були виявлені. Серед іншого, вони знайшли небезпечні flash-файли на державних онлайн-ресурсах і сайтах банків.

Група опублікувала подробиці дослідження в книзі “Hacking Exposed Web 2.0″, що вийде в США в січні 2008 р. Подібні повідомлення ІБ-компаній з’являються досить часто. Adobe, як стверджується, була інформована про результати досліджень ще у влітку 2007 р.

Автори стверджують, що секюріті патчі для flash-клієнта не можуть забезпечити вирішення даної проблеми: шкідливий код генерується вже при створенні файлів у багатьох популярних пакетах, у тому числі DreamWeaver, Breeze і Camtasia. Уразливості flash дозволяють зчитувати cookies чи реєстраційні дані, що можуть використовуватися в злочинних цілях.

По матеріалам http://www.secblog.info.


Leave a Reply

You must be logged in to post a comment.