Il mestiere del Venture Capital
I file Flash che sono vulnerabili a un grave problema rattoppato da Adobe Systems più di tre anni fa esistono ancora su molti siti Web, esponendo gli utenti a potenziali attacchi.
La vulnerabilità, nota come CVE- 2011-2461, è stato trovato nell'Adobe Flex Software Development Kit (SDK) ed è stato risolto da Adobe nel novembre 2011. Lo strumento di sviluppo, che è stato successivamente donato ad Apache Software Foundation, consente agli utenti di creare applicazioni Internet ricche di piattaforme diverse in Flash.
La vulnerabilità era insolita perché il fixing non richiedeva semplicemente l'aggiornamento di Flex SDK, ma anche l'applicazione di patch a tutte le singole applicazioni Flash (file SWF) create con le versioni vulnerabili dell'SDK .
[Ulteriori letture: Come rimuovere malware dal PC Windows]Secondo una nota tecnica Adobe al momento, tutte le applicazioni Flash basate sul Web compilate con Flex 3.x e alcune compilate con Flex 4.5 erano vulnerabili . La società ha rilasciato uno strumento che consentiva agli sviluppatori di correggere facilmente i file SWF esistenti, ma molti di questi no.
L'anno scorso, gli ingegneri della sicurezza delle applicazioni Web Luca Carettoni di LinkedIn e Mauro Gentile di Minded Security hanno scoperto il vecchio difetto mentre indagavano Tecniche basate su Flash per aggirare il meccanismo SOP (Same-Origin Policy) trovato nei browser.
SOP impedisce ai contenuti di script caricati da un sito Web o di un'origine di influire sul contenuto di un altro sito Web. Ad esempio, uno script ospitato sul sito Web X caricato dal sito Web Y in un iframe non dovrebbe essere in grado di leggere il contenuto sensibile dei visitatori dell'altro sito, come i relativi cookie di autenticazione. Né il sito web Y può essere in grado di ottenere informazioni sugli utenti del sito Web X semplicemente caricando una risorsa da esso.
Senza questo meccanismo, qualsiasi sito dannoso potrebbe caricare, ad esempio, Gmail in un iframe nascosto e quando gli utenti di Gmail autenticati visitare il sito dannoso, potrebbe rubare i cookie di autenticazione di Gmail.
Secondo Carettoni e Gentile, la vulnerabilità di Flex rende possibili tali attacchi. Consente inoltre a un sito Web dannoso di caricare un file SWF vulnerabile da un sito Web di destinazione e quindi di eseguire azioni non autorizzate per conto degli utenti di quel sito quando visitano la pagina Web dannosa.
Hanno rilevato file SWF che erano ancora vulnerabili su Google, Yahoo , Salesforce, Adobe, Yandex, Qiwi e molti altri siti. Dopo aver informato i siti Web interessati, hanno presentato le loro scoperte la scorsa settimana alla conferenza sulla sicurezza di Troopers 2015 in Germania.
Tuttavia, a giudicare dalla situazione trovata su siti Web di alto profilo, un numero elevato di altri siti probabilmente ospiterà anche SWF vulnerabili in modo simile file.
"Ci sono ancora molti altri siti Web che ospitano file SWF vulnerabili là fuori", hanno detto i due ricercatori in un post sul blog. "Aiutateci a rendere Internet un posto più sicuro segnalando i file vulnerabili ai rispettivi proprietari del sito Web."
I ricercatori hanno rilasciato il loro strumento di test SWF, che si chiama ParrotNG ed è scritto in Java, su GitHub.
Se c'è sono stati trovati file vulnerabili, dovrebbero essere corretti con lo strumento Adobe rilasciato nel 2011 o ricompilati con le versioni più recenti di Apache Flex SDK, hanno detto.
La vulnerabilità basata su Flash si sofferma su molti siti Web tre anni dopo
Un numero elevato di sviluppatori non è riuscito a correggere le proprie applicazioni Flash contro una vulnerabilità che può essere sfruttato per indirizzare gli utenti Web
I migliori giocattoli per bambini di 4 anni, bambini di 5 anni, bambini di 6 anni e oltre
Mantieni i tuoi bambini intrattenuti con la nostra scelta dei migliori giocattoli adatti per bambini di 4 anni e verso l'alto, da £ 6 a £ 180
