Gyurkity Péter
Flash-hiba fenyegeti weboldalak tízezreit
A Google és az iSEC Partners biztonsági cég szakemberei bukkantak rá a flash-tartalmak sebezhetőségére, amire egyelőre nincs orvosság, így weboldalak tízezreit, felhasználók százezreit fenyegeti egy esetleges támadás.
A két cégnek dolgozó kutatók egy most megjelent könyvben rántják le a leplet a hibáról, részletesen kifejtve annak részleteit, illetve következményeit. A könyv, amely a Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions címet kapta, hivatott felhívni a figyelmet az úgynevezett webkettőt fenyegető biztonsági résekre, hiányosságokra és sebezhetőségekre. Kiemelik, hogy az ott ismertetett problémára egyelőre nincs orvosság.
A hiba a weboldalakon gyakran használt Flash appletekben, illetve az azokat lejátszó Adobe szoftverben húzódik meg. A cég ugyan éppen a napokban frissítette lejátszóját, ám a legújabb foltozás sem szűri ki ezt a sebezhetőséget, így egy esetleges támadás igencsak súlyos károkat okozhat, elsősorban a gyanútlan felhasználók körében. Ehhez persze elengedhetetlen, hogy a kiszemelt célszemélyek bedőljenek a csalódnak és óvatlan módon a rossz címre vezető hivatkozásokra kattintsanak.
A módszer ugyanis a következőképpen fest: a felhasználót valamilyen módon ráveszik, hogy a rossz hivatkozásra kattintva egy, az eredetitől eltérő weboldalra tévedjen, legyen az egy bank, áruház vagy bármilyen más intézmény internetes lapja. Az eredeti flash-tartalmakat módosítják, saját kódot fűzve hozzá az eredetihez (ez a cross-site scripting, vagy XSS technológia), így megszerezhetik a felhasználó böngészője által korábban felhasznált cookie fájlokat és egyéb fontos adatokat. Így válik lehetővé a csalók számára, hogy az áldozat identitása mögé bújva maguk vegyék igénybe az eredeti szolgáltatást, vagy akár az illető bankszámláját, hitelkártyáját.
A problémát az jelenti, hogy jelenleg nem áll rendelkezésre semmilyen javítás, az Adobe is "néhány héten belül" ígéri a megfelelő frissítés elkészültét - addig a weboldalak és a felhasználók bármikor áldozatul eshetnek egy ilyen megoldásnak. Átmeneti védekezésként a flash-validatorok alkalmazását ajánlják, illetve a Firefox "NoScript" beépülőjét, amely egyszerűen letiltja az ilyen szkripteket.
A két cégnek dolgozó kutatók egy most megjelent könyvben rántják le a leplet a hibáról, részletesen kifejtve annak részleteit, illetve következményeit. A könyv, amely a Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions címet kapta, hivatott felhívni a figyelmet az úgynevezett webkettőt fenyegető biztonsági résekre, hiányosságokra és sebezhetőségekre. Kiemelik, hogy az ott ismertetett problémára egyelőre nincs orvosság.
A hiba a weboldalakon gyakran használt Flash appletekben, illetve az azokat lejátszó Adobe szoftverben húzódik meg. A cég ugyan éppen a napokban frissítette lejátszóját, ám a legújabb foltozás sem szűri ki ezt a sebezhetőséget, így egy esetleges támadás igencsak súlyos károkat okozhat, elsősorban a gyanútlan felhasználók körében. Ehhez persze elengedhetetlen, hogy a kiszemelt célszemélyek bedőljenek a csalódnak és óvatlan módon a rossz címre vezető hivatkozásokra kattintsanak.
A módszer ugyanis a következőképpen fest: a felhasználót valamilyen módon ráveszik, hogy a rossz hivatkozásra kattintva egy, az eredetitől eltérő weboldalra tévedjen, legyen az egy bank, áruház vagy bármilyen más intézmény internetes lapja. Az eredeti flash-tartalmakat módosítják, saját kódot fűzve hozzá az eredetihez (ez a cross-site scripting, vagy XSS technológia), így megszerezhetik a felhasználó böngészője által korábban felhasznált cookie fájlokat és egyéb fontos adatokat. Így válik lehetővé a csalók számára, hogy az áldozat identitása mögé bújva maguk vegyék igénybe az eredeti szolgáltatást, vagy akár az illető bankszámláját, hitelkártyáját.
A problémát az jelenti, hogy jelenleg nem áll rendelkezésre semmilyen javítás, az Adobe is "néhány héten belül" ígéri a megfelelő frissítés elkészültét - addig a weboldalak és a felhasználók bármikor áldozatul eshetnek egy ilyen megoldásnak. Átmeneti védekezésként a flash-validatorok alkalmazását ajánlják, illetve a Firefox "NoScript" beépülőjét, amely egyszerűen letiltja az ilyen szkripteket.