PDA

Просмотр полной версии : Фундаментальный баг Adobe Flash не будут исправлять


Nike
13.11.2009, 16:05
Специалисты по безопасности из Foreground Security обнаружили проблему с Adobe Flash (https://realax.ru/away.php?to=http%3A%2F%2Fwww.foregroundsecurity.co m%2FMyBlog%2Fflash-origin-policy-issues.html), которая затрагивает все без исключения сайты, поддерживающие загрузку пользовательского контента, даже если сам сайт формально не показывает Flash, скрипты можно загружать с любыми расширениями, хоть в виде картинок, и они будут исполняться у пользователей. Достаточно, чтобы у пользователя был установлен Flash на клиентской машине. Компания Adobe сказала, что исправить этот баг очень непросто и переложила всю ответственность за защиту от вредоносного кода на администраторов сайтов.

Что интересно, даже сайт самой компании Adobe подвержен данной уязвимости (https://realax.ru/away.php?to=http%3A%2F%2Fwww.computerworld.com%2Fs %2Farticle%2F9140768%2FFlash_flaw_puts_most_sites_ users_at_risk_say_researchers).

Аналогично, атаку можно проводить даже через Gmail. Хотя это довольно непросто, но работает отлично (см. видео).

https://www.youtube.com/watch?v=doPpsU91j7k

(c) https://habrahabr.ru/blogs/infosecurity/75145/