Luka we Flashu zagrożeniem dla większości użytkowników Sieci? Adobe rozkłada ręce

Czy można wzruszyć ramionami na wieść o luce, która zagraża praktycznie każdej witrynie w Internecie? Jeśli pracuje się w Adobe, to można. Odkryta przez specjalistów luka we Flashu, pozwalająca na wgranie przez atakującego do serwisu WWW kodu, który zainfekuje następnie odwiedzających go internautów, nie wywołała na twórcach popularnej platformy RIA większego wrażenia.

Za odkrycie odpowiedzialni są badacze z firmy Foreground Security. Informują, że na atak podatne są praktycznie wszystkie witryny, które pozwalają użytkownikowi na wgranie jego plików. „Skala zagrożenia jest ogromna (…) większość witryn nie została skonfigurowana tak, aby do tego nie dopuścić” – powiedział dyrektor Foreground Security, Mike Murray.

We wpisie na korporacyjnym blogu firmy, Mike Bailey, starszy badacz działu bezpieczeństwa FS przedstawił schemat ataku, wykorzystującego lukę we Flashu. „Jest to raczej proste – wszystko co trzeba, to stworzyć szkodliwy obiekt Flash i wgrać go na serwer WWW”.

Prezentacja ataku przeciwko poczcie Gmail (usługa została już zabezpieczona).

Problem tkwi w polityce tego samego źródła (same origin policy) stosowanej w Action Scriptu, która ogranicza dostęp obiektów Flash tylko do tych treści, które wywodzą się z tego samego adresu. Jeśli atakujący stworzy szkodliwy obiekt Flash i wgra go na stronę, która pozwala użytkownikom na takie działania (a pozwala na to zdecydowana większość stron Web 2.0), to będzie mógł wykonać swój szkodliwy skrypt w kontekście danej domeny.

„Jeśli na przykład skrypt forum dyskusyjnego pozwala użytkownikowi na wgranie obrazka awatara, to ktoś mógłby wgrać szkodliwy obiekt Flash, wyglądający jak awatar. Każdy, kto by go zobaczył, byłby podatny na atak” – wyjaśnił Bailey.

Adobe: „tego nie da się naprawić”

Brad Arkin, dyrektor ds. bezpieczeństwa w Adobe odpowiedział Foreground Security. Jego zdaniem luki nie da się naprawić. Adobe może jedynie próbować pouczać administratorów witryn, jak mogą zamknąć lukę po swojej stronie.

„Naszym zdaniem to ogólny problem, który dotyka każdej witryny pozwalającej na aktywne skryptowanie – nie dotyczy on tylko Flasha, ale też JavaScriptu i Silverlighta. Nawet jeśli znaleźlibyśmy jakieś magiczne zabezpieczenie dla Flasha, to i tak problem by pozostał (…)” – stwierdził Arkin.

«poprzednia 1 2 następna »

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

16 skomentuj »

Komentarze

#1 Holden Caulfield^® 2009-11-14 14:10:53 0
Zezwolenie użytkownikom serwisów na wgrywanie swf ma być winą Adobe? Ktoś chyba oszalał.

Autor pominął najpowszechniejsze wykorzystanie Flasha czyli gry.
IP: 83.6.12.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/532.4 (KHTML, like Gecko) Chrome/4.0.237.0 Safari/532.4
#2 Soul 2009-11-14 14:48:07 0
":Z funkcją pierwszą jest niestety gorzej – bez Flasha nie zobaczymy

jednak większości reklam."

Straszne :D!~
IP: 87.116.225.[...] Mozilla/5.0 (Windows; U; Windows NT 6.1; pl; rv:1.9.2b2) Gecko/20091108 Firefox/3.6b2
#3 SZoPer^® 2009-11-14 15:44:59 0
Dokładnie tak samo jest z pozwoleniem użytkownikom na wgrywanie na serwer skryptów PHP, Ruby itd. i ich wykonanie w kontekście serwera. Kto do tego dopuszcza sam sobie jest winien.
IP: 77.254.19.[...] Opera/9.80 (X11; Linux x86_64; U; pl) Presto/2.2.15 Version/10.01
#4 zenek 2009-11-14 16:09:05 0
Badacze z firmy Foreground Security chcieli narobic szumu. Rownie dobrze mozna odkrywac z radością Kolumba, ze miliony obywateli są zagrozonych, bo na ulicach chodzą ludzie z bronią.

Najsmieszniejsze jest to ze autor artykulu łyka te śmieci jak mlody pelikan ;)
IP: 89.78.20.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5 (.NET CLR 3.5.30729)
#5 swistak^® 2009-11-14 19:28:39 0
Autor chyba zapomniał o grach flash i witrynach stworzonych w całości lub chociaż częściowo (np. menu) we flashu.
IP: 83.5.68.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5 (.NET CLR 3.5.30729)
#6 Zdejmijcie to 2009-11-14 20:23:31 0
albo chociaz zweryfikujcie tresc. Jak mozna winic producenta samochodu ze ktos nie umie zmieniac biegu?
IP: 83.29.197.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5
#7 kłebek 2009-11-14 22:34:40 0
LOL co za głupoty... pozwolić userowi wgrać swf i go wykonać :) Proponuję osobny formularz do wpisywania i odpalania kodu php.

To, że pseuoadmin pozwala na takie rzeczy to tylko i wyłącznie jego wina.

A stadko głupiutkich userów usuwa teraz plugin flasha :)
IP: 83.26.76.[...] Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_4_11; en) AppleWebKit/531.9 (KHTML, like Gecko) Version/4.0.3 Safari/531.9
#8 m_gol^® 2009-11-15 01:34:46 0
Tyle że te wszystkie skrypty Greasemonkey nie pozwalają na przewijanie filmu podczas oglądania. A to dość potrzebna funkcjonalność. Postulowanie więc, że w przypadku YouTube'a można w ten sposób zrezygnować z Flasha budzi wyłącznie mój pusty śmiech.
IP: 82.210.189.[...] Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.5) Gecko/20091109 Ubuntu/9.10 (karmic) Firefox/3.5.5
#9 Kisu 2009-11-15 01:35:19 0
Skoro większość rodziców pozwala swoim dzieciom bawić się nożami, to dla bezpieczeństwa dzieci, powinniśmy zabronić produkcji noży, jednym ze sposobów byłoby wycofanie sprzedaży noży w sklepach.

To nie taki głupi pomysł, skoro noży używa się jedynie do smarowania oraz do krojenia chleba. W tej drugiej funkcji można zastąpić go na przykład krajalnicą do chleba. Z funkcją pierwszą jest niestety gorzej – bez noża nie posmarujemy sobie chleba naszym ulubioną margaryną.

I kto jest winny? Rodzice czy sprzedający noże?
IP: 89.191.161.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5 (.NET CLR 3.5.30729)
#10 m_gol^® 2009-11-15 02:04:16 0
A, to był jakiś bug totema, który uniemożliwiał przewijanie, z gecko-mediaplayer to JAKOŚ działa - jakoś, bo po pierwsze czasami się wiesza na jakimś cache'owaniu, a po drugie - żaden z tych pluginów nie oferuje w szczególności takich bajerów jak dodatkowy pasek pokazujący, jak dużo filmu się już zcache'owało czy też wygodnego przeskakiwania do dalszych pozycji filmu z pominięciem początku.

A więc Flasha tak szybko nie zastąpimy. Pomógłby trochę tag video, ale tak długo, jak IE tego nie wprowadzi (czyli długo...), żaden większy gracz nie zdecyduje się na porzucenie Flasha w tej kwestii. Ot co.
IP: 82.210.189.[...] Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.5) Gecko/20091109 Ubuntu/9.10 (karmic) Firefox/3.5.5
#11 webexpert 2009-11-15 09:49:51 0
Czy ten artykuł był dopuszczony do druku? No same głupoty...
IP: 83.5.135.[...] Mozilla/5.0 (Windows; U; Windows NT 6.1; pl; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5 (.NET CLR 3.5.30729)
#12 HubertB. 2009-11-15 23:17:10 0
Same głupoty:)

"Pozostaje oczywiście pytanie, czy w ogóle warto korzystać z Flasha?

Większości użytkowników służy on do oglądania toplayerowych reklam i

filmów na YouTube (czy innych tego typu serwisach)." -> hehe dobre.

1. Jeśli ktoś uważa że flash jest jedynie do ogladania reklam i fimów na YouTube to jest mega zawansowanym użytkownikiem internetu i prawdopodobnie nidy się nie dowie do czego poważne fimy stosują flasha.

2. Jeśli ktoś umożliwia wgranie pliku swf na serwer przykładowo za miast obrazka *.jpg to równie dobrze możemy wgrać tam co tylko checemy (*.php i odpalmy go sobie jescze). Mamy 21 wiek, ludzie, normalnie programisci sprawdzają jaki jest typ wgrywanych plików i bynajmniej nie po rozszerzeniu.

3. Nawet jeśli ktoś wyśle maila z flashem nie możemu za bardzo podzialać z jego wnętrza choćby w inboxie google. Dlaczego? Bo swf odpalmy w naszej domenie a oglądamy go sobie w domenie googla, wszytkie cale do js i tego typu sztuczki odpadaja:)

Wiec apeluje:) Nie dajcie sie nabrac:) Flash jest okey tylko trzeba sie nauczyc go używać.

P.S

A propo reklam:) Jak wszyscy wiemy są wkyrzające i wtyskakuja gdzie popadnie. Dla wszytkich nie zorientowanych to nie wina flasha:) Popupy wyskakują dzieki nie jakiejmu jezykowi skryptowemu pod tytułem JavaScript.

Flash rządzi nie zpominajcie o tym:) pozdro
IP: 91.150.223.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5
#13 Peter Riley 2009-11-16 08:54:41 0
@pozmu: Dokładnie, chodzi o pozwolenie na wgranie i wykonanie. Jak nie zezwolisz na bezpośredni dostęp http do folderu z upload'em to nikt nic nigdzie nie osadzi.
IP: 212.87.25.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5
#14 fdev 2009-11-16 10:51:36 0
Niektóre wasze komentarze wołają o pomste do nieba. Jaka luka wogóle ? Robił ktoś z was kiedykolwiek preloader do serwisu flashowego ? Gdyby nie ta "luka" wykonanie preloadera (swf'a ładującego i wykonującego inny swf) byłoby niemożliwe, każdy flashdeveloper doskonale zna tę funkcjonalność flash'a, co wy chcecie od tego biednego adobe.

Inna sprawa że żaden rozumny człowiek nie wpuszcza via www użytkowników do podfolderów swojej aplikacji, więc o uruchomieniu czegokolwiek nie ma mowy.

@pozmu -> od kiedy kolego flash działa po stronie serwera? Od kiedy flash ma domyślnie dostęp do zasobów nie znajdujących się w tej samej domenie? Od kiedy flash ma dostęp do http cookies sam z siebie bez użycia js?

I właśnie jak HubertB rzekł, flash nie ma nic wspólnego z wyskakującymi okienkami, to js otwiera okienka, a że marketingowcy uznali że flash będzie świetną zawartością takiego okienka to już zupełnie inna sprawa :)

Dajcie już spokój tej nagonce na adobe. Ahh...
IP: 193.178.214.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5 (.NET CLR 3.5.30729)
#15 code_46 2009-11-16 14:58:04 0
Czy może mnie ktoś oświecić jak ta luka może wpłynąć na bezpieczeństwo serwera, bo nie łapię.
IP: 194.113.59.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10 GTB5 GoogleToolbarFF 5.0.20090122 GoogleToolbarFF 5.0.20090813
#16 pozmu^® 2009-11-19 22:32:14 0
@fdev - pisząc "wykona się" miałem na myśli uruchomienie go w przeglądarce,

Co do cookies to fakt, flash nie ma dostępu do cookies... no więc macie rację, że nie jest to nic strasznego i faktycznie jedynie w przypadku innych dziur da się to wykorzystać
IP: 78.150.0.[...] Opera/9.80 (Windows NT 5.1; U; en) Presto/2.2.15 Version/10.01

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.