30/03/2008-17:58
Adobe работает над новой версией плеера Flash Palyer, в которой будет устранена широко распространенная уязвимость, обнаруженная на нескольких сотнях тысяч веб-сайтов.
Впервые проблема в ПО была обнаружена специалистом компании Google Ричем Каннингсом еще в декабре 2007 года. Уязвимость связана с ошибкой в реализации файлов Shockwave Flash (.swf). Сообщается, что при помощи данной уязвимости можно вызвать атаку XSS которая поможет получить злоумышленнику доступ к параллельным веб-сессиям пользователя. В том случае, если в параллельной сессии пользователь передает, например, банковские данные, то хакер может с легкостью их получить.
После того, как Каннингс сообщил о своей находке, Adobe и другие производители программного обеспечения исправили свои системы таким образом, чтобы файлы с уязвимостью нельзя было создавать, однако далеко не все владельцы сайтов и разработчики обновили ранее созданные Flash-файлы, поэтому, по подсчетам Google, на сегодня остается около 500 000 сайтов с опасными файлами.
Эксперты отмечают, что Adobe закрыла саму возможность в среде создания Flash-файлов, однако она осталась в случае работы с заранее созданными роликами, поэтому обновить надо и сам клиентский плеер таким образом, чтобы он мог сообщать о возможной XSS-атаке.
В Adobe говорят, что над данным исправлением работают, однако пока не могут сказать, когда именно появится законченный релиз.
В минувшую пятницу Рич Каннингс в своем блоге отметил, что даже спустя 3 месяца после публикации данных об уязвимости минимум 10 000 сайтов предлагают пользователям опасные ролики.
