Flash inciampa ancora sulla sicurezza

Un utente di Flash 5 ha scoperto una falla che potrebbe trasformare i file SWF in cavalli di Troia. Macromedia è già corsa ai ripari

Web - A poco più di un mese di distanza dalla scoperta del primo virus per Flash, il noto player di Macromedia deve ora fare i conti con una nuova vulnerabilità di sicurezza.

Un utente di Flash 5 che si fa chiamare "Vengy" ha infatti pubblicato un documento dove descrive una funzionalità del player stand-alone che permetterebbe di creare dei filmati in Flash contenenti, al loro interno, script malevoli che un utente può rischiare di salvare sul proprio computer.

Secondo Vengy, Flash 5 supporta un comando ActionScript non documentato, "fscommand:save", che consente agli sviluppatori Flash di salvare in un file alcune informazioni cronologiche riguardanti un filmato.
Vengy ha dimostrato come sia possibile utilizzare questo comando per creare sul computer dell'utente un programma batch in grado di auto-eseguirsi al riavvio del sistema. Questo funziona esclusivamente con il player stand-alone che Macromedia distribuisce con il suo tool di authoring Flash e dunque, per fortuna, non riguarda i milioni di utenti che hanno installato il plug-in od il controllo ActiveX.

Macromedia ha sollecitamente trovato una soluzione al problema rilasciando una nuova versione del player Flash che non contiene più il comando incriminato. Una mossa simile a quella che lo scorso mese portò l'azienda ad eliminare un altro comando potenzialmente pericoloso, "exec", sfruttato dal virus SWF/LFM-926.

"Ogni volta che una nuova minaccia viene scoperta - ha commentato sul proprio sito Vengy - rimuovere semplicemente la funzionalità esistente causerà solo il deterioramento del prodotto lungo il tempo (ad esempio, vi prego di ripristinare fscommand "exec"). Qualche volta la "cura" è peggiore del "male"".

Nonostante entrambe le falle di sicurezza di Flash interessino un numero limitato di utenti - in genere, infatti, solo gli sviluppatori utilizzano la versione stand-alone del player - alcuni esperti di sicurezza hanno consigliato agli operatori del Web di tenere alta la guardia e verificare sempre la sicurezza e l'autenticità di ogni file SWF ospitato sui loro siti.

La nuova versione del player Flash è disponibile qui.
TAG: sicurezza
7 Commenti alla Notizia Flash inciampa ancora sulla sicurezza
Ordina
  • ... ho detto una katazza (e non saro' magnanimo): a quanto pare la cosa riguarda proprio i file swf (mi crolla un mito, comunque meno male che hanno provveduto immediatamente), a giudicare da quello che c'e' scritto sul sito dell'utente di Flash5.

    Come non detto.


    Vabbe', ma allora che dobbiamo fare, preoccuparci per tutte le falle che troveremo di qui all'eternita'?

    In verita' riflettendoci bene la vera falla ce l'ha chi, conoscendo i bugs, li usa volontariamente e indiscriminatamente solo per fare danni in modo incosciente e criminale.

    Quindi a voglia a trovare patch, antivirus e via discorrendo... c'e' gente che per poco e' capace di ucciderti con una coltellata, ma non mi risulta che sia stata rilasciata una patch per le lame affilate... Sorride)))))))))))))

    Ke Kazzata buonanotte
    non+autenticato
  • > Vabbe', ma allora che dobbiamo fare,
    > preoccuparci per tutte le falle che
    > troveremo di qui all'eternita'?
    >
    > In verita' riflettendoci bene la vera falla
    > ce l'ha chi, conoscendo i bugs, li usa
    > volontariamente e indiscriminatamente solo
    > per fare danni in modo incosciente e
    > criminale.
    >
    > Quindi a voglia a trovare patch, antivirus e
    > via discorrendo... c'e' gente che per poco
    > e' capace di ucciderti con una coltellata,
    > ma non mi risulta che sia stata rilasciata
    > una patch per le lame affilate...
    > Sorride)))))))))))))


    Chissà xé alcuni lettori di questo forum non applicano la stessa benevolenza quando si parla di falle di prodotti Microsoft?
    ...Due pesi, due misure?

    Grazie
    non+autenticato
  • > Chissà xé alcuni lettori di questo forum non
    > applicano la stessa benevolenza quando si
    > parla di falle di prodotti Microsoft?
    > ...Due pesi, due misure?
    >
    certo!
    non+autenticato
  • "... descrive una funzionalità del player stand-alone che permetterebbe di creare dei filmati in Flash contenenti, al loro interno, script malevoli..."

    Ovvero: si parla di file creati con il player standalone. Cioe' si parla di file con estensione .EXE (fra l'altro molto piu' grandi del file .SWF originario) a partire dal file .SWF di flash.

    I problemi, quindi, come al solito quando si parla di worm, virus, trojan, riguardano gli eseguibili .EXE.

    Il player standalone e' stato realizzato da Macromedia per consentire la diffusione dei file SWF anche in quei pc che non hanno il plugin installato nei browser. Ma se ci pensiamo un momento e' assurdo utilizzarlo. Primo perche' come ho gia' detto aumenta considerevolmente le dimensione dell'animazione (mandando a farsi friggere tutti i vantaggi della grafica vettoriale per cui Flash e' diventato famoso) e secondo perche' il risultato della conversione e' un stramaleddetto file eseguibile di windows.

    In definitiva, se avete un file SWF e volete farlo vedere agli amici, non convertitelo in exe con il player standalone (che brutta parola) a distribuitelo in SWF! E' piu' leggero, e puo' essere visto ormai da tutti i browser.


    Se ho detto qualche katazza vi prego di essere magnanimi.
    non+autenticato
  • salve a tutto il forum.
    lavoro con flash da diversi anni e conosco il comando save (non documentato da macromedia) da tanto tempo.
    analogamente si parla di exe e non di swf, ovvero di eseguibili e quindi di qualsiasi programma possibile (fatto in java, basic, etc etc).
    rimango un pò deluso dalla redazione di punto-informatico il quale dà così gran risalto a un ragazzino che ha fatto una paginetta su geocities programmando una cosetta che ognuno si può fare in casa. così come si può fare in java, c++,etc.
    sarebbe auspicabile un approfondimento maggiore delle problematiche di flash.
    a proposito segnalo due link che potrebbero far capire a tanti che flash non è da temere, più di tanti altri linguaggi di programmazione.
    www.flashguru.co.uk
    www.robertpenner.com
    distinit saluti e buon lavoro
    non+autenticato
  • Salve, un paio di note per la redazione.

    1. il formato è SWF, non SWK.
    2. non sono soltanto gli swf da controllare, ma anche i filmati inviati come eseguibili (creati, appunto, con il player); infatti se è difficile che un normale utilizzatore apra un file swf scaricato con il lettore standalone (che hanno in genere solo gli sviluppatori, appunto), è più facile che un utente riceva il filmato flash in formato exe (che è in realtà un file contenente sia il lettore che il filmato stesso).

    Saluti
    non+autenticato