Wysłany: 2008-04-12, 10:02 Groźne luki w Adobe Flash Player
Cytat:
W aplikacji Adobe Flash Player odkryto groźne luki. Podatne są wersje oprogramowania 9.0.115.0 i wcześniejsze, oraz 8.0.39.0 i wcześniejsze.
Aplikacja ta jest najczęściej stosowaną do odtwarzania animacji flash, przez co potencjalnymi ofiarami może być większość użytkowników Internetu. Dodatkowo podatności te występują w wersjach oprogramowania na wszystkie przeglądarki i platformy systemowe, choć oczywiście sposób wykorzystania tych luk musiałby być w większości przypadków inny w różnych systemach operacyjnych. Dwie luki dotyczą błędu przetwarzania danych wchodzących, przez co możliwe jest przepełnienie bufora (atak buffer overflow) i w konsekwencji zawieszenie procesu lub wykonanie w systemie ofiary dowolnego kodu.
Kolejne podatności mogą pozwolić na przeprowadzenie ataku typu DNS rebinding, który – w skrócie – umożliwia przekierowanie przeglądarki ofiary do innej strony WWW.
Następna dziura dotyczy serwera, na którym umiejscowiona jest animacja flash. Znajduje się w mechanizmie interpretera plików cross-domain policy (zawierających reguły określające możliwości ładowania danych z innych źródeł) i pozwala na eskalację uprawnień systemowych.
Inny błąd może być wykorzystany przy wysyłaniu nagłówków HTTP do pominięcia reguł zawartych w plikach cross-domain policy.
Ostatni zestaw luk pozwala na ataki XSS (Cross-Site Scripting), w tym, oprócz wykonania złośliwego skryptu JavaScript, także kradzież z plików cookie informacji uwierzytelniających.
Aby wykorzystać podatności przeciwko zwykłemu użytkownikowi domowemu, atakujący musi namówić go do uruchomienia w podatnej aplikacji specjalnie spreparowanej animacji flash (plik o rozszerzeniu swf), co może być dosyć proste – wystarczy taką animację umieścić na stronie WWW. Jej adres może być następnie dystrybuowany poprzez różne kanały, np. wiadomości e-mail, komunikatory internetowe, fora dyskusyjne, serwisy społecznościowe i WEB 2.0, a także poprzez wyszukiwarki internetowe (dzięki wysokiemu wypozycjonowaniu lub usługom typu „linki sponsorowane”).
Dostępna już nowsza wersja Adobe Flash Playera, w której poprawiono powyższe błędy. Można ją ściągnąć bezpośrednio ze strony producenta. Adobe udostępnił także instrukcje pokazujące krok po kroku proces instalacji dla różnych systemów operacyjnych i przeglądarek.
Nie możesz pisać nowych tematów Nie możesz odpowiadać w tematach Nie możesz zmieniać swoich postów Nie możesz usuwać swoich postów Nie możesz głosować w ankietach Nie możesz załączać plików na tym forum Możesz ściągać załączniki na tym forum
FAQ
Szukaj
Użytkownicy
Grupy
Statystyki
Rejestracja
Zaloguj
Album
Download
