Фундаментальный баг Adobe Flash не будут исправлять

Discussion in 'Мировые новости. Обсуждения.' started by ozs, 13 Nov 2009.

  1. ozs

    ozs Elder - Старейшина

    Joined:
    27 Nov 2007
    Messages:
    57
    Likes Received:
    44
    Reputations:
    5
    Специалисты по безопасности из Foreground Security обнаружили проблему с Adobe Flash, которая затрагивает почти все сайты, поддерживающие загрузку пользовательского контента, даже если сам сайт формально не показывает Flash. Дело в том, что ничто не мешает сделать object/embed на какой-нибудь страничке, не имеющей отношения к сайту, потому как Flash имеет доступ к куки того домена, с которого он загружен (а не того, где расположен тег object).

    [​IMG]

    Проблема заключается в свойстве Actionscript same-origin, которое допускает выполнение активного контента в рамках данного домена. Но если UGC можно загрузить на доверенный сайт, то вредоносный скрипт будет выполнится у всех посетителей этого сайта, у которых установлен Flash.

    Компания Adobe сказала, что исправить баг очень непросто и переложила всю ответственность за защиту от вредоносного кода на администраторов сайтов. Рекомендуется выделять для хранения UGC отдельный домен. Но не всегда это возможно: даже сайт самой компании Adobe подвержен данной уязвимости.

    Атаку можно проводить в том числе через Gmail (см. видео).

    (c)habrahabr.ru
     
    4 people like this.
  2. aka_zver

    aka_zver Elder - Старейшина

    Joined:
    17 Sep 2009
    Messages:
    471
    Likes Received:
    330
    Reputations:
    73
    молодцы ёпт, сами делают бажные продукты, а исправлять должен кто-то :mad:
     
  3. vvs777

    vvs777 Elder - Старейшина

    Joined:
    16 Nov 2004
    Messages:
    390
    Likes Received:
    204
    Reputations:
    4
    похек..

    я всегда говорил что flash это зло
     
  4. CSRULS

    CSRULS Member

    Joined:
    25 Oct 2008
    Messages:
    14
    Likes Received:
    26
    Reputations:
    0
    инетресную информацию они предоставляют))
     
  5. lmns

    lmns Elder - Старейшина

    Joined:
    21 Feb 2007
    Messages:
    195
    Likes Received:
    111
    Reputations:
    8
    посмотрел видео, что-то суть не уловил.
     
  6. DCRM

    DCRM Elder - Старейшина

    Joined:
    12 Dec 2006
    Messages:
    67
    Likes Received:
    27
    Reputations:
    -1
    Суть увидишь на самом последнем кадре :)
     
Loading...