В используемой WikiLeaks открытой Flash-библиотеке обнаружены XSS уязвимости

Исследователь безопасности Франсиско Алонсо (Francisco Alonso)  обнаружил  две XSS уязвимости в открытой Flash-библиотеке FlexPaper, которая используется на портале WikiLeaks для просмотра PDF-файлов. Как отмечается на форуме ресурса, компоненты Flash могут быть использованы злоумышленниками для деанонимизации пользователей Tor, а также для размещения ссылок на внешний контент с целью дискредитации WikiLeaks.

«Учитывая тот факт, что большинство браузеров используют плагины для чтения файлов PDF, мы настоятельно рекомендуем WikiLeaks напрямую давать ссылки на файлы и не использовать стороннее программное обеспечение, которое может поставить под угрозу безопасность пользователей», - подчеркнул один из участников форума.

Портал WikiLeaks использует открытую Flash-библиотеку FlexPaper для отображения PDF-файлов. Однако из-за различных программных ошибок FlexPaper уязвима к XSS-атакам и подмене содержания (Content Spoofing). Разработчики ПО осведомлены о проблеме и уже выпустили обновление с исправлением уязвимости.