Komoly a baj

A szakértők szerint a hiba nagyon komoly, és minden olyan oldalt érint, ami engedélyezi fájlok feltöltését, úgy hogy ezeket a fájlokat aztán más felhasználóknál jeleníti meg. A legjobb példa egy fórum, ahová bárki feltölthet magáról egy fotót, amit majd a kommentjei mellett jelenít meg a rendszer mindenkinél, aki beleolvas a hozzászólásokba. A hackernek nincs más dolga, mint a megfelelően preparált Flash fájlt feltölteni képnek álcázva, és az abban rejlő kártékony kódot innentől kezdve bárki gépén le tudja futtatni, akinél csak megpróbálja a böngésző a képet megjeleníteni.

Az Adobe elismerte a hibát

Természetesen a Foreground szakemberei nem mondtak pontosabbat arról, hogy mi ez a megfelelő mód, hogy ne segítsenek a hackereknek erre ép��lő támadásokat indítani. A Flasht fejlesztő Adobe elismerte a sérülékenység létezését, de azt mondják, a hiba nem olyan jellegű, amit egy egyszerű javítócsomag orvosolni tudna, ehelyett a webfejlesztőknek kell úgy átalakítaniuk az oldalaikat, hogy bezáruljon a biztonsági rés. Például ha külön doménen kezelik a feltöltött fájlokat, mint az oldal kódját, ahová ezek beépülnek, a fenyegetés máris elhárult (így működik például a Hotmail vagy a YouTube is). Még az Adobe egyes oldalainak kódjában is ott van a biztonsági hiba, hogy várhatjuk el, hogy ők védjenek meg minket? – teszi fel a költői kérdést a Foreground.
hirdetés

Brad Arkin

Brad Arkin, az Adobe biztonságért felelős vezetője azt mondta a Computerworldnek, hogy a helyzet még ennél is súlyosabb, és nem csak a Flasht érinti, de minden olyan rendszer sebezhető lehet, ami aktív scripteket engedélyez, mint a Javascript vagy a Silverlight. Támadható lehet elvileg a Gmail is ezzel a módszerrel, a levélmellékletként feltöltött fájlokon át, de a Foreground szerint a gyakorlatban extrém nehéz lehet a Google egyéb biztonsági rendszereit kijátszva, erre építeni egy támadást.

Bárki lehet áldozat

Általában az ilyen biztonsági réseket csak azután hozzák nyilvánosságra, amikor már kész a javítás hozzá, de ebben az esetben ez nem működik, és a rendszergazdák, illetve maguk a felhasználók tudnak védekezni. „Szinte minenki, aki használja az internetet, potenciális áldozat lehet” - figyelmeztetett Mike Murary, a Foreground Security vezetője. „Bármelyik közösségi oldal, álláskereső, randioldal, vagy on-line bolt felépítésében benne van a lehetőség a támadásra, ráadásul a felhasználó sosem veszi észre, ha a böngészőjében lefutó külső script éppen a hacker rosszindulatú kódja”.

Megoldás?

Bár még egyetlen nagyobb hackertámadásról sem tudunk, ami ezt a biztonsági rést használta volna ki, Murray a Flash teljes letiltását, vagy a Firefox NoScripthez hasonló kiegészítő programok telepítését ajánlja a netezőknek, amivel be lehet állítani, hogy csak megbízható oldalaknak engedélyezze a böngésző a scriptek futtatását.