Gyurkity Péter

Flash-hiba fenyegeti weboldalak tízezreit

A Google és az iSEC Partners biztonsági cég szakemberei bukkantak rá a flash-tartalmak sebezhetőségére, amire egyelőre nincs orvosság, így weboldalak tízezreit, felhasználók százezreit fenyegeti egy esetleges támadás.

A két cégnek dolgozó kutatók egy most megjelent könyvben rántják le a leplet a hibáról, részletesen kifejtve annak részleteit, illetve következményeit. A könyv, amely a Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions címet kapta, hivatott felhívni a figyelmet az úgynevezett webkettőt fenyegető biztonsági résekre, hiányosságokra és sebezhetőségekre. Kiemelik, hogy az ott ismertetett problémára egyelőre nincs orvosság.

A hiba a weboldalakon gyakran használt Flash appletekben, illetve az azokat lejátszó Adobe szoftverben húzódik meg. A cég ugyan éppen a napokban frissítette lejátszóját, ám a legújabb foltozás sem szűri ki ezt a sebezhetőséget, így egy esetleges támadás igencsak súlyos károkat okozhat, elsősorban a gyanútlan felhasználók körében. Ehhez persze elengedhetetlen, hogy a kiszemelt célszemélyek bedőljenek a csalódnak és óvatlan módon a rossz címre vezető hivatkozásokra kattintsanak.

A módszer ugyanis a következőképpen fest: a felhasználót valamilyen módon ráveszik, hogy a rossz hivatkozásra kattintva egy, az eredetitől eltérő weboldalra tévedjen, legyen az egy bank, áruház vagy bármilyen más intézmény internetes lapja. Az eredeti flash-tartalmakat módosítják, saját kódot fűzve hozzá az eredetihez (ez a cross-site scripting, vagy XSS technológia), így megszerezhetik a felhasználó böngészője által korábban felhasznált cookie fájlokat és egyéb fontos adatokat. Így válik lehetővé a csalók számára, hogy az áldozat identitása mögé bújva maguk vegyék igénybe az eredeti szolgáltatást, vagy akár az illető bankszámláját, hitelkártyáját.

A problémát az jelenti, hogy jelenleg nem áll rendelkezésre semmilyen javítás, az Adobe is "néhány héten belül" ígéri a megfelelő frissítés elkészültét - addig a weboldalak és a felhasználók bármikor áldozatul eshetnek egy ilyen megoldásnak. Átmeneti védekezésként a flash-validatorok alkalmazását ajánlják, illetve a Firefox "NoScript" beépülőjét, amely egyszerűen letiltja az ilyen szkripteket.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Bagoly000 #7
    "Az eredeti flash-tartalmakat módosítják, saját kódot fűzve hozzá az eredetihez (ez a cross-site scripting, vagy XSS technológia), így megszerezhetik a felhasználó böngészője által korábban felhasznált cookie fájlokat és egyéb fontos adatokat."
  • arrakistor #6
    a hír NEM igaz: a flash ÖSSZES verziójában a megcímezhető objektumok a
    ./ (értsd: a szülőkönyvtár gyermekobjektumának / -ban ) kell lennie !
    tehát a http://enoldalam.com/enkonyvtaram/enflashem.swf CSAK és KIZÁRÓLAG a http://enoldalam.com/enkonyvtaram/ -on belüli objektumokat érheti el mint pl.:
    http://enoldalam.com/enkonyvtaram/enflashemmasodikresze.swf vagy
    http://enoldalam.com/enkonyvtaram/enlamerkodasom/fullflashsite.xml... a flash
    publikálásánál (fordítás) meg kell határozni, hogy a flash offline, vagy online verzió lesz-e és ez utóbbi eseben az említett módon viselkedik. ha pedig offline, akkor pedig CSAK és KIZÁRÓLAG a saját gépben van joga kotorászni úgyszintén CSAK és KIZÁRÓLAG a ./ -ben ... mittomén:
    c:\idetöltöttemflasheket\netesVIRUSOSfless.swf csak a
    c:\idetöltöttemflasheket\ -on belüli cuccokat tudja olvasni !!!!

    Ismétlem : ______________A HÍR HOAX______________
  • longdrink #5
    Most itt a flashplayerben van a hiba vagy magában a flashben? Mostanában már elég sok szép fullflash oldal van, amit újra kell majd csinálni az új flashel vagy elég lesz az új flashplayer a felhasználóknak?
  • kvp #4
    Ha a hir igaz, akkor ez azt jelenti, hogy a flash script motorjaban nincs cross site scripting vedelem. Tehat ha te egy oldalon betoltesz egy flash animaciot, akkor az be tud tolteni egy masik animaciot, mondjuk egy banket. Ezutan az elso flash kod kiolvassa a masodik flash kod altal elerheto infokat, pl. a banki adatokat tarolo sutiket. Igy eleg egy google altal kidobott oldalra kattintani, mondjuk a 'karacsonyi nyuszis blogra', amiben van egy flash. Innentol az osszes banki info ami a bongeszoben volt atmegy a flash-t felrako tulajdonaba. Elemeletileg eleg ranezni egy fertozott oldalra, nem kell kattintani sem.

    ps: A javitas annyi, hogy le kell tiltani a site-ok kozotti flash betoltes lehetoseget, tehat egy flash animacionak nem szabad mas oldalakat betoltenie. Ez a legtobb flash-es linket, toolbart es nyomogombot tonkrevagja, de legalabb biztonsagossa tenne a flash-t. Alternativa meg az objektummodell urjagondolasa, ami csak az ujabb verziokban lesz lehetseges. A bongeszo meg letilthatja a sutik hasznalatat flash alatt, amitol meg az osszes flash-es jatek beadja a kulcsot.
  • arrakistor #3
    Összesítve ez a hír egy HOAX, avagy K.A.C.S.A. ... burried ..
  • arrakistor #2
    "Az eredeti flash-tartalmakat módosítják, saját kódot fűzve hozzá az eredetihez (ez a cross-site scripting, vagy XSS technológia), így megszerezhetik a felhasználó böngészője által korábban felhasznált cookie fájlokat és egyéb fontos adatokat."

    - Namost ez kb. ugyanaz mint az a mondat aminél kikapcsoltam a videót a _Függetlenség napja_ c. filmben:

    "... és akkor behatolhatunk az idegenes számítógépes adatbázisába..."

    némi "hozzáértőnek tűnő" rizsa körítés hozzá-adagolásával. Az XSS-nek ég világon semmi köze nincs a flash-hez , a "flash-applet"-nek pedig gyakorlatilag semmi joga nincsen a sajátgépben kotorászni. Az hogy ki hova kattint pedig csak maximum a júzer lecserélésével fogják kiszűrni a t. szakenberek .
  • Skynet85 #1
    Ez jó vicc ilyen alapon lenyulom bármely oldal flash betétjét átírom az fla-t és kész ez most olyan mint a sapnyol viasz aki hülye enélkül is átverhető aki meg nem, nem fog csak úgy egy ,,gyere ide" linkre katintva kiadni magáról bármit...