Компоненты Flash могут быть использованы злоумышленниками для деанонимизации пользователей Tor.
Исследователь безопасности Франсиско Алонсо (Francisco Alonso) обнаружил две XSS уязвимости в открытой Flash-библиотеке FlexPaper, которая используется на портале WikiLeaks для просмотра PDF-файлов. Как отмечается на форуме ресурса, компоненты Flash могут быть использованы злоумышленниками для деанонимизации пользователей Tor, а также для размещения ссылок на внешний контент с целью дискредитации WikiLeaks.
«Учитывая тот факт, что большинство браузеров используют плагины для чтения файлов PDF, мы настоятельно рекомендуем WikiLeaks напрямую давать ссылки на файлы и не использовать стороннее программное обеспечение, которое может поставить под угрозу безопасность пользователей», - подчеркнул один из участников форума.
Портал WikiLeaks использует открытую Flash-библиотеку FlexPaper для отображения PDF-файлов. Однако из-за различных программных ошибок FlexPaper уязвима к XSS-атакам и подмене содержания (Content Spoofing). Разработчики ПО осведомлены о проблеме и уже выпустили обновление с исправлением уязвимости.
Но доступ к знаниям открыт для всех