Chyba ve Flash lze zneužít u řady serverů

16. 11. 2009

Sdílet

Mike Murray z kalifornské společnosti Foreground Security uvedl, že zranitelnost ve zpracování formátu Flash ohrožuje uživatele prakticky všech webů, které umožňují upload souborů – a to včetně GMailu.

Vlastní problém má být v metodě ActionScript, která je navržena tak, aby umožňovala spouštět skripty pouze z domény, v niž se nachází vlastní soubor SWF. To, že při spouštění flashových objektů může dojít k ohrožení uživatele, není nic nového. Proč je ale problém v uploadu souborů, vždyť podvodníci by si je přece stejně mohli umístit na své weby a šířit odkazy na ně?

Murray tvrdí, že specifičnost současné hrozby je následující: flashový objekt lze totiž kvůli chybě vydávat za obrázek. Řada serverů nenechá jen tak k uživatelskému profilu vložit Flash, obrázek JPG však ano. V tomto případě útočníkovi stačí soubor přejmenovat. Jakmile se uživateli zobrazí tento profil (např. u nabídky chatu v GMailu), může rázem dojít i ke spuštění škodlivých skriptů.

Samozřejmě – aby tento postup fungoval, weby musejí takový podvrh dovolit, tj. například neskenovat nahrávané soubory na to, zda nepředstírají jiný formát. Společnost Adobe se proto vyjádřila v tom smyslu, že odpovědnost za problém mají provozovatelé serverů, nikoliv ona, a tento typ zranitelnosti je „unpatchable“. Týká se podle ní aktivního skriptování obecně a stejný problém by šlo vytvořit i třeba u formátu Silverlight.

Není zatím jasné, kde všude by šlo útok uskutečnit, např. zranitelnost GMailu je neprokázaná, pouze hypotetická. Protože problém se týká vztahu mezi obsahem v různých doménách, imunní by měly být ty weby, kde se obsah vytvářený uživateli hostuje v jiné doméně; tam by nemělo být možné propojit objekt se skriptem v důvěryhodné doméně; služba umožňuje spouštět skripty jen ze své domény, jinou přirozeně za důvěryhodnou nepovažuje. Imunní proti tomuto útoku by měly být např. uživatelé Windows Live Hotmail a Youtube.

Murray tvrdí, že podobný problém se vyskytuje dokonce i na vlastních webech Adobe.

ICTS24

Útoky proti této chybě dosud zaznamenány nebyly. Pokud uživatelé chtějí být spolehlivě chráněni, nezbývá jim zřejmě, než sáhnout po specializovaných modulech pro webové prohlížeče (NoScript pro Firefox, ToogleFlash pro Microsoft Internet Explorer).