Za útokem na GMail stála chyba v přehrávači Flash Player

8. 6. 2011

Sdílet

K poslednímu útoku na uživatel GMailu byla zneužita chyba v přehrávači Flash Player, kterou Adobe opravila o víkendu. Zranitelnost útočníkovi umožňovala krádež uživatelského jména a hesla.

Adobe musela vydat mimořádnou záplatu (pro Flash tento rok již druhou), když zjistila, že zranitelnost je již masově zneužívána. Útok na GMail probíhal tak, že jeho uživatelé dostávali v e-mailu odkaz na podvodný web. Stačilo na link kliknout a další proces už pak probíhal jako drive-by download, kdy útočník získal přístupové údaje k aktuální službě (podle Adobe nicméně nebylo možné vzdálené spuštění kódu/instalace malwaru). I když zdokumentovat se podařilo tento postup jen u GMailu, cílem mohli být i uživatelé jiných e-mailových služeb, sociálních sítí apod.

Jádrem poslední zranitelnosti ve Flash Playeru byl problém cross-site scripting (XSS). Na chybu Adobe původně upozornili výzkumníci Googlu. Přehrávač Flash byl opraven ve verzích pro Windows, Mac OS X i Linux, Google současně vydal aktualizaci příslušného plug-inu pro Chrome (samotných webových prohlížečů se však problém nijak netýkal). Je otázkou, zda zranitelný náhodou není také Reader, protože flashové animace lze také vkládat i do souborů PDF a přehrávat zde pomocí knihovny authplay.dll. U Readeru a Acrobatu se 14. června každopádně očekává vydání pravidelného balíčku bezpečnostních záplat.

GMail získal v minulém týdnu zájem médií, když Google oznámil, že celá řada účtů významných uživatelů GMailu (včetně amerických vládních představitelů a vysoce postavených úředníků administrativy) je dlouhodobým cílem útoků čínských hackerů. Čína toto obvinění popřela a případ mj. šetří FBI. Samozřejmě se také objevila kritika, proč se k důvěrným úředním záležitostem často nepoužívá pracovní pošta, ale freemailová služba.

ICTS24

Tento útok nicméně nesouvisí s poslední zranitelností v přehrávači Flash. Probíhal už zhruba od února a uživatelé zadávali své jméno a heslo sami, když byli oklamáni falešnou přihlašovací stránkou.