Alessandro Del Rosso

Flash e la vulnerabilitÓ latente

Due esperti di sicurezza sostengono che molti siti web potrebbero essere sfruttati per lanciare pericolosi attacchi ai danni di tutti gli utenti che utilizzano Flash Player

Roma - Mike Murray, chief information security officer di Foreground Security, in questo articolo ha richiamato l'attenzione della comunità di esperti di sicurezza su una vulnerabilità legata a Flash e considerata potenzialmente molto seria. Una vulnerabilità che, secondo l'esperto, non deriva da un bug nel codice di Flash Player ma da alcune regole di sicurezza della tecnologia di Adobe e da come queste vengono interpretate dagli sviluppatori web.

Stando a quanto spiegato da Murray, la debolezza potrebbe essere utilizzata per trasformare in veicoli di diffusione di script maligni la stragrande maggioranza dei siti web che consentono agli utenti di caricare file. Come dimostrerebbe questo video pubblicato da Mike Bailey, ricercatore senior di Foreground, tra le risorse vulnerabili c'era anche Gmail (Google ha recentemente corretto il problema): in questo caso il vettore di attacco era rappresentato dagli allegati email.

"Tra i siti web potenzialmente vulnerabili ci sono quelli di social networking, quelli dedicati alla carriera lavorativa, quelli delle agenzie governative e delle aziende della Fortune 1000", ha messo in guardia Bailey. "Questa falla è particolarmente insidiosa per il fatto che i contenuti Flash possono essere mascherati da altri tipi di file, come documenti Word ed Excel, immagini o file zip". L'esperto ha citato come esempio l'eventualità che l'utente di un forum carichi sul server un file che, pur sembrando l'immagine di un avatar, è invece un file Flash maligno capace di compromettere la sicurezza di tutti coloro che semplicemente visualizzino il finto avatar.
Murray e Bailey hanno spiegato che il problema risiede nella same-origin policy di Flash ActionScript e nel modo in cui questa viene generalmente interpretata dagli sviluppatori. "Le regole alla base della same-origin policy di ActionScript sono molto simili a quelle di JavaScript: un oggetto Flash può accedere esclusivamente ai contenuti che risiedono sullo stesso dominio da cui è stato eseguito lo script" spiegano i due ricercatori. "La differenza più importante è che gli oggetti Flash non sono pagine web. Non c'è bisogno di iniettare un oggetto Flash all'interno di una pagina web per eseguirlo: è sufficiente caricare il contenuto. Ciò significa che se io metto un oggetto Flash sul tuo server, posso eseguire degli script nello stesso contesto del tuo dominio".

Interrogata sulla questione, Adobe ha dichiarato a Foreground che "sfortunatamente non c'è una soluzione semplice", e il motivo è che "è molto difficile risolvere il problema senza compromettere il funzionamento dei contenuti legittimi sparsi per il Web". La mamma di Flash ritiene sia molto più proficuo "educare" sviluppatori e web designer a comprendere tutti gli aspetti della same-origin policy di Flash ActionScript, in modo da aggirare il problema in fase di creazione dei siti web.

Murray ha precisato che al momento non ci sono segnalazioni di attacchi che facciano leva su questa debolezza, tuttavia "ci sono prove che dimostrano come i cracker si stiano muovendo in questa direzione".

Alessandro Del Rosso
Notizie collegate
35 Commenti alla Notizia Flash e la vulnerabilitÓ latente
Ordina
  • Mi fate ridere di gusto...
    La maggior parte dei post sono scritti da sedicenti smanettoni che pubblicizzano html5 come cosa già utilizzabile e priva di magagne... Lo spiegate voi ai miei clienti che devono installarsi ffox 3.5 per vedere il lavoro che gli ho fatto? ma soprattutto che devono anche convincere la loro potenziale clientela a farlo? Credete veramente che se fosse così facile starei ancora nel 2009 quasi terminato a testare i siti (e fare i salti mortali per farceli girare bene) su IE5.5/6? E poi soprattutto con html5 cosa fai? Includi video e audio ok, ma il mondo cari miei non è solo youtube e cacchiate virali.

    Per confermare questa mia tesi basta leggere cose tipo "i siti in flash hanno rotto etc"... ma chi li fa più siti in flash?

    Flash si evoluto, ora in flash si fanno applicativi fuori dal comune (http://aviary.com/ http://www.picnik.com/ e un botto d'altri) a livello di Photoshop o illustrator, col vantaggio dell'obiquità di fruizione e della totale compatibilità multipiattaforma. Applicativi professionali o applicativi ludici (i vari pet society o farmville che tante ore al giorno vi ciulano), CD multimediali etc.

    Ormai il sito in flash è solo una nicchia (retaggio del passato senza alternative valide per stupire o intrattenere), e voi arrivate con la teoria definitiva! Cioè che dal momento che in html 5 avremo (sottolineo la forma futura) i tag video, dunque flash non serve più?

    Che poi sia chiuso è cosa conosciuta, e bacato (pochi i bug di cui si può accorgere l'utente medio, di più per lo sviluppatore) ci può anche stare, ma che sia pesante?? Ma in quale universo parallelo da voi frequentato flash è pesante? Io personalmente ho frequentato contest quali 4k contest, 25 lines contest, flash in a twitter message etc... e si fanno grandi cose con quei 4 kb. Se poi (dal momento che sono nabbo e flash me lo permette) vado a embeddarci png da mezzo mega, o quintalate di audio è proprio un altro discorso. Dunque sì, il vostro cuginetto che fa ancora intro animate per la gelateria sotto casa con la spazza dentro produce il nulla e lo fa pesare 1Mb, altri in 20Kb fanno stare un applicativo professionale.

    Ciao belli.
    non+autenticato
  • - Scritto da: Gino Latella
    > Mi fate ridere di gusto...
    > La maggior parte dei post sono scritti da
    > sedicenti smanettoni che pubblicizzano html5 come
    > cosa già utilizzabile e priva di magagne... Lo
    > spiegate voi ai miei clienti che devono
    > installarsi ffox 3.5 per vedere il lavoro che gli
    > ho fatto? ma soprattutto che devono anche
    > convincere la loro potenziale clientela a farlo?
    > Credete veramente che se fosse così facile starei
    > ancora nel 2009 quasi terminato a testare i siti
    > (e fare i salti mortali per farceli girare bene)
    > su IE5.5/6? E poi soprattutto con html5 cosa fai?
    > Includi video e audio ok, ma il mondo cari miei
    > non è solo youtube e cacchiate
    > virali.
    >
    > Per confermare questa mia tesi basta leggere cose
    > tipo "i siti in flash hanno rotto etc"... ma chi
    > li fa più siti in
    > flash?
    >
    > Flash si evoluto, ora in flash si fanno
    > applicativi fuori dal comune (http://aviary.com/
    > http://www.picnik.com/ e un botto d'altri) a
    > livello di Photoshop o illustrator, col vantaggio
    > dell'obiquità di fruizione e della totale
    > compatibilità multipiattaforma. Applicativi
    > professionali o applicativi ludici (i vari pet
    > society o farmville che tante ore al giorno vi
    > ciulano), CD multimediali
    > etc.
    >
    > Ormai il sito in flash è solo una nicchia
    > (retaggio del passato senza alternative valide
    > per stupire o intrattenere), e voi arrivate con
    > la teoria definitiva! Cioè che dal momento che in
    > html 5 avremo (sottolineo la forma futura) i tag
    > video, dunque flash non serve
    > più?
    >
    > Che poi sia chiuso è cosa conosciuta, e bacato
    > (pochi i bug di cui si può accorgere l'utente
    > medio, di più per lo sviluppatore) ci può anche
    > stare, ma che sia pesante?? Ma in quale universo
    > parallelo da voi frequentato flash è pesante? Io
    > personalmente ho frequentato contest quali 4k
    > contest, 25 lines contest, flash in a twitter
    > message etc... e si fanno grandi cose con quei 4
    > kb. Se poi (dal momento che sono nabbo e flash me
    > lo permette) vado a embeddarci png da mezzo mega,
    > o quintalate di audio è proprio un altro
    > discorso. Dunque sì, il vostro cuginetto che fa
    > ancora intro animate per la gelateria sotto casa
    > con la spazza dentro produce il nulla e lo fa
    > pesare 1Mb, altri in 20Kb fanno stare un
    > applicativo
    > professionale.
    >
    > Ciao belli.

    perfetto... resta comunque, come tu stesso sffermi, che flash è:
    - non libero
    - pieno di bug
    - potenzialmente pericoloso in termini di sicurezza
    - potenzialmente pesantissimo (il web è praticamente fatto SOLO di nabbi)
    ...
    insomma...
    una me.da
    non+autenticato
  • a te che interessa il web sovietico stile anni 90, flash appare una me*da, a me che piace avere (e mettere) un po di stile, credo che il flash al momento sia insostituibile, se non da silverlight (per quello si vedrà).
    Cmq non sto a insistere i brutti son brutti amano il brutto e brutti rimaranno per sempre.
    non+autenticato
  • - Scritto da: Steve Robinson Hakkabee
    > a te che interessa il web sovietico stile anni
    > 90, flash appare una me*da, a me che piace avere
    > (e mettere) un po di stile, credo che il flash al
    > momento sia insostituibile, se non da silverlight
    > (per quello si
    > vedrà).

    lo "stile" si può mettere benissimo anche (e pure molto meglio) senza flash o silverlight (altra mer.at.)

    > Cmq non sto a insistere i brutti son brutti amano
    > il brutto e brutti rimaranno per
    > sempre.

    dai non buttarti giù in questo modo...
    non+autenticato
  • svg+ajax+html5 = tutto quello che puoi fare con flash

    e non è vero che solo firefox lo supporta

    safari, chrome e pure ie8 supportano html5, in parte o in toto
  • Ciao flasharo, per fortuna che esiste flashblock, così non vedo i vostri aborti Arrabbiato
    non+autenticato
  • > Che poi sia chiuso è cosa conosciuta, e bacato
    > (pochi i bug di cui si può accorgere l'utente
    > medio, di più per lo sviluppatore) ci può anche
    > stare, ma che sia pesante?? Ma in quale universo
    > parallelo da voi frequentato flash è pesante? Io
    > personalmente ho frequentato contest quali 4k
    > contest, 25 lines contest, flash in a twitter
    > message etc... e si fanno grandi cose con quei 4
    > kb. Se poi (dal momento che sono nabbo e flash me
    > lo permette) vado a embeddarci png da mezzo mega,
    > o quintalate di audio è proprio un altro
    > discorso. Dunque sì, il vostro cuginetto che fa
    > ancora intro animate per la gelateria sotto casa
    > con la spazza dentro produce il nulla e lo fa
    > pesare 1Mb, altri in 20Kb fanno stare un
    > applicativo
    > professionale.
    >
    > Ciao belli.

    E in mezzo a tutti questi contest nessuno che vi abbia parlato di ajax?
    Siete messi proprio bene...
    Continua a spalare, professionista dell'IT
    non+autenticato
  • - Scritto da: Gino Latella
    > Mi fate ridere di gusto...

    Sapessi tu quanto c'hai fatto ridere con questo mare di panzane...

    Applicativi professionali in flash? Secondo me non hai proprio idea di cosa sia scrivere un'applicazione web professionale.

    Ajax per te è una marca di detersivo vero? Mai sentito parlare di design patterns? Chissà in flash se è possibile implementare un MVC...
    Il fatto che l'intero codice della tua applicazione professionale giri interamente sul client non è un problema, vero?

    Non credere di essere tanto diverso dal tipo brufoloso che fa il sitino per il supermercato.
  • Flash è lento, bacato, chiuso.

    Basta sitacci innavigabili in Flash. ci sono altre tecnologie.
    Basta video embedded in Flash, c'è HTML5.

    Flash va bene per le animazioni e per i giochini. Per tutto il resto lasciamolo perdere,
    Funz
    12979
  • dipenderà tutto da google

    certo che se flash continua così, credo a mountain view perderanno la pazienza molto prestoOcchiolino
  • Esatto: tolto youtube non ci sono siti importanti che si basano su flash.
    La prossima sfida è togliere di mezzo flash e far abortire Silverlight.
    HTML5 aiuterà senz'altro: se youtube abbraccia i tag audio e video, magari con codec open allora è fatta.
  • - Scritto da: Funz
    > Flash è lento, bacato, chiuso.
    >
    > Basta sitacci innavigabili in Flash. ci sono
    > altre
    > tecnologie.
    > Basta video embedded in Flash, c'è HTML5.
    >
    > Flash va bene per le animazioni e per i giochini.
    > Per tutto il resto lasciamolo perdere,

    concordo ed aggiungo che i siti seri non usano flash o al massimo si limitano a quattro cosucce per fare scenografia. I siti che invece si BASANO su flash per funzionare... behh... li evito a pie' pari.
    non+autenticato
  • - Scritto da: attonito
    > concordo ed aggiungo che i siti seri non usano
    > flash o al massimo si limitano a quattro cosucce
    > per fare scenografia. I siti che invece si BASANO
    > su flash per funzionare... behh... li evito a
    > pie'
    > pari.

    Io posso anche capire quei siti "artistici" che usano Flash in maniera inconsueta e sperimentale, ci sono cose incredibili in giro.
    Ma per fare un sito-vetrina con mezzo trailer e quattro foto...
    Funz
    12979
  • - Scritto da: attonito

    > concordo ed aggiungo che i siti seri non usano
    > flash o al massimo si limitano a quattro cosucce
    > per fare scenografia. I siti che invece si BASANO
    > su flash per funzionare... behh... li evito a
    > pie' pari.

    Faccio lo stesso anch'io.
    non+autenticato
  • - Scritto da: Pino
    > - Scritto da: attonito
    >
    > > concordo ed aggiungo che i siti seri non usano
    > > flash o al massimo si limitano a quattro cosucce
    > > per fare scenografia. I siti che invece si
    > BASANO
    > > su flash per funzionare... behh... li evito a
    > > pie' pari.
    >
    > Faccio lo stesso anch'io.

    Non li evitano le persone che contano: quelli che pagano e che hanno interesse a una partnership o ad essere un comune consumatore di contenuti.

    Di voi si fa a meno, quanti siamo su questo pianeta? Umhhh, ho perso il conto!
    non+autenticato
  • - Scritto da: webprogramm er

    >
    > Non li evitano le persone che contano: quelli che
    > pagano e che hanno interesse a una partnership o
    > ad essere un comune consumatore di
    > contenuti.

    se sei bravo a flash non c'è bisogno di spiegarlo alla markettara

    >
    > Di voi si fa a meno, quanti siamo su questo
    > pianeta? Umhhh, ho perso il
    > conto!

    conta che le informazioni non gradiscono flash, dovresti prenderterla con loro, poi basta che metti qualche skip.
  • - Scritto da: webprogramm er
    > Non li evitano le persone che contano: quelli che
    > pagano e che hanno interesse a una partnership o
    > ad essere un comune consumatore di
    > contenuti.
    >
    > Di voi si fa a meno, quanti siamo su questo
    > pianeta? Umhhh, ho perso il
    > conto!

    Ma a noi che ce ne fo**e?
    Piuttosto è a voi che dovrebbe importare, visto che siamo noi che teniamo il portafoglio dalla parte dei soldiCon la lingua fuori
    Funz
    12979
  • - Scritto da: Funz
    > Flash è lento, bacato, chiuso.

    Il fatto che sia chiuso non pregiudica la bontà. Anche tu tieni la porta di casa chiusa, non per questo la gente ti reputa una persona negativa. O forse si?


    > Basta video embedded in Flash, c'è HTML5.

    Oddio, questa bestemmia la puo dire solo chi non conosce HTML. L'embedded, ovvero il tag, con annesso <object> non viene piu usato. Si puo rendere un sito WC3 validated con altre strategie.
    Prima di sparare cazzate, fatti un ripassino, và.

    > Flash va bene per le animazioni e per i giochini.

    Eh no. Anche i giochini devono essere messi su con criterio, o per questo ti va bene lo stesso il codice <embed> ?

    > Per tutto il resto lasciamolo
    > perdere,

    Mi sa che sei tu ad avere le idee un po confuse ragazzo.
    non+autenticato
  • Tu devi essere uno dei tanti diplomati/laureati in lettere/fancazzisti riciclato informatico, vero?
    Sai, si nota dallo stile delle risposte da "uomo vissuto che sa come va il mondo". Che in realtà nasconde solo una profonda ignoranza e carenza di argomentazioni con cui rispondere (e allora via ai vari "tzè, ma voi siete solo nerd brufolosi" - "i soldi si fanno in altri modi" - "ai ricconi non importa la realizzazione tecnica o la disponibilità dei sorgenti" ecc ecc).
    non+autenticato
  • all'autore dell'articolo per aver scritto correttamente cracker invece di hacker.
    non+autenticato