Los archivos de Adobe Flash que son creados por diversas herramientas para diseño web podrían ser explotadas por defraudadores en línea para llevar a cabo ataques de cross site scripting, según recientes declaraciones de investigadores.
Un documento publicado por el investigador de Google, Richard Cannings, muestra que las herramientas que generan archivos Flash, como Adobe Dreamweaver y FusionCharts de Infosoft, podrían ser utilizadas para evadir los filtros anti-phishing. Al crear una liga que transfiere código javascript a los archivos Flash, un atacante podría forzar a una víctima a ejecutar código malicioso en el contexto seguro de un sitio web conocido.
Mientras que identificar los sitios vulnerables es difícil, existen cientos de miles de sitios que podrían estar afectados, según el blog de Jeremiah Grossman.
"Dado que este fallo no es un ataque XSS universal, será mucho más difícil de identificar a los sitios afectados", escribió Grossman, quien es CTO de WhiteHat Security. "Tendremos que encontrar la metodología para poder desensamblar los archivos Flash y poder determinar que herramienta web fue utilizada para crearlo, y actualizar los escaners de vulnerabilidades para que los archivos Flash puedan ser analizados en la misma forma que se hace con una aplicación web".
Este problema es independiente de la vulnerabilidad en archivos Flash, que Adobe solucionó el mes pasado, según los investigadores. Adobe liberó un parche en Diciembre para solucionar 10 vulnerabilidades presentes en software de Flash, entre ellas la eliminación de cross site scripting por medio del manejador de protocolo "asfunction:" y de la función "navigateToURL()". El 24 de Diciembre, InfoSoft arregló el problema limitando el uso de la función al contexto relativo y no absoluto de URLs.
Grossman enfatizó que las animaciones Flash vulnerables permanecerán en la web por un largo tiempo, en tanto que los desarrolladores web tendrán primero que actualizar sus herramientas, después crear nuevas versiones de los archivos Flash y finalmente subirlos a los sitios en cuestión. En muchos casos, el desarrollo lo lleva a cabo un tercero, lo cual podría incrementar el tiempo de exposición.
Fuente
Securityfocus
EEG/EEG
