Исправленная уязвимость в SDK Adobe Flex продолжает представлять угрозу для web-сайтов

image

Теги: уязвимость, эксплуатация, Adobe Flex

Эксплуатация уязвимости позволяет удаленному пользователю с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы.

Исправленная в 2011 году брешь в комплекте средств для разработки (SDK) Adobe Flex продолжает ставить под угрозу интернет-ресурсы. Об этом  сообщил  специалист Мауро Джентиле (Mauro Gentile) в соответствующем бюллетене безопасности. Эксплуатация уязвимости  CVE-2011-2461 , которая затрагивает версии Adobe Flex SDK 3.x и 4.x, позволяет удаленному пользователю с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

По словам Джентиле, в том случае, если файл .SWF был создан при помощи уязвимого компилятора Flex SDK, злоумышленники по-прежнему могут эксплуатировать данную брешь против последних версий web-браузеров и Flash-плагинов.

Уязвимость позволяет киберпреступникам похищать данные путем осуществления CSRF-атак или обманом заставляя пользователей выполнить переход на вредоносную web-страницу. В ранних версиях Adobe Flex скомпилированные файлы .SWF некорректно проводят проверку сертификатов безопасности доменов, что может привести к потенциальному возникновению XSS-проблем.

«Поскольку HTTP-запросы содержат файлы cookie и отправляются с домена жертвы, ответы HTTP могут содержать конфиденциальную информацию», - отметил Джентиле.

Специалист совместно со своими коллегами провел масштабное исследование, в ходе которого эксперты определяли SWF-файлы, размещенные на популярных web-сайтах, и анализировали их при помощи специального инструмента, предназначенного для определения уязвимых конфигураций кода. Как выяснилось, уязвимыми оказалось значительное количество интернет-ресурсов, в том числе и три домена, занимающих верхние позиции в рейтинге Alexa Top 100. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.