Shockwave Flash, tool da cracker?

Si rinnovano le preoccupazioni per il plugin che si trova nella stragrande maggioranza dei browser e che in certe condizioni sembra possa trasformarsi in una porta aperta per incursioni sui computer degli utenti

Web - Neal Krawetz, esperto di sicurezza, non ha dubbi: in determinate condizioni, il plugin Shockwave Flash integrato nei browser rappresenta un "tool di cracking" per chi volesse sfruttarne alcune debolezze. Lo ha detto il 20 dicembre e lo ha ripetuto ora.

Krawetz ha pubblicato tutti i dettagli delle sue scoperte sulla mailing list di sicurezza Bugtraq, affermando di aver dialogato sul problema dallo scorso agosto con Macromedia, che produce il plugin, senza però ricevere assicurazioni che il "buco" sarebbe stato risolto.

Secondo Krawetz sono colpite dal buco tutte le piattaforme che utilizzano il plugin di Flash dalla versione 2 alla 8. Pur agendo in modi diversi e a differenti livelli di "pericolosità", il problema è riscontrato su Windows, MacOS, Solaris, Red Hat Linux e altre piattaforme.
Stando allo scopritore del baco, il "buffer overflow" che può scatenare potrebbe essere utilizzato per eseguire del codice nascosto in un file SWF (ovvero in un file tipicamente "letto" dal plugin). Questo significa che all'utente potrebbe capitare tutto ciò che va dal semplice crash del browser all'avvio sul proprio computer di applicazioni non richieste, come virus, worm o altro... Krawetz sostiene che è possibile realizzare un unico file SWF contenente le istruzioni per colpire più piattaforme.

Da Macromedia ancora nessun commento al riguardo.
TAG: sicurezza