500.000 flash файлов на популярных сайтах уязвимы к XSS

Эксперты безопасности Google предупреждают об опасных уязвимостях в безопасности flash-апплетов. Они утверждают, что в рамках совместного с сотрудниками фирмы iSEC расследования обнаружили, что более чем 500 тыс. flash-файлов, размещенных на популярных веб-сайтах, открыты для атак посредством межсайтового скриптинга (XSS). Исследователи говорят, что даже последние обновления безопасности Adobe Flash Player не обеспечивают защиты от опасностей, которые были обнаружены. Среди прочего, они нашли небезопасные flash-файлы на государственных онлайн-ресурсах и сайтах банков.

Группа опубликовала подробности исследования в книге «Hacking Exposed Web 2.0», которая выйдет в США в январе 2008 г. По данным The Register, подобные сообщения ИБ-компаний появляются довольно часто. Adobe, как утверждается, была информирована о результатах исследований еще в летом 2007 г.

Авторы утверждают, что патчи безопасности для flash-клиента не могут обеспечить решение данной проблемы: вредоносный код генерируется уже при создании файлов во многих популярных пакетах, в том числе DreamWeaver, Breeze и Camtasia. Уязвимости flash позволяют считывать cookies или регистрационные данные, которые могут использоваться в преступных целях.