Mike Murray, chief information security officer di Foreground Security, in questo articolo ha richiamato l’attenzione della comunità di esperti di sicurezza su una vulnerabilità legata a Flash e considerata potenzialmente molto seria. Una vulnerabilità che, secondo l’esperto, non deriva da un bug nel codice di Flash Player ma da alcune regole di sicurezza della tecnologia di Adobe e da come queste vengono interpretate dagli sviluppatori web.
Stando a quanto spiegato da Murray, la debolezza potrebbe essere utilizzata per trasformare in veicoli di diffusione di script maligni la stragrande maggioranza dei siti web che consentono agli utenti di caricare file. Come dimostrerebbe questo video pubblicato da Mike Bailey, ricercatore senior di Foreground, tra le risorse vulnerabili c’era anche Gmail (Google ha recentemente corretto il problema): in questo caso il vettore di attacco era rappresentato dagli allegati email.
“Tra i siti web potenzialmente vulnerabili ci sono quelli di social networking, quelli dedicati alla carriera lavorativa, quelli delle agenzie governative e delle aziende della Fortune 1000”, ha messo in guardia Bailey. “Questa falla è particolarmente insidiosa per il fatto che i contenuti Flash possono essere mascherati da altri tipi di file, come documenti Word ed Excel, immagini o file zip”. L’esperto ha citato come esempio l’eventualità che l’utente di un forum carichi sul server un file che, pur sembrando l’immagine di un avatar, è invece un file Flash maligno capace di compromettere la sicurezza di tutti coloro che semplicemente visualizzino il finto avatar.
Murray e Bailey hanno spiegato che il problema risiede nella same-origin policy di Flash ActionScript e nel modo in cui questa viene generalmente interpretata dagli sviluppatori. “Le regole alla base della same-origin policy di ActionScript sono molto simili a quelle di JavaScript: un oggetto Flash può accedere esclusivamente ai contenuti che risiedono sullo stesso dominio da cui è stato eseguito lo script” spiegano i due ricercatori. “La differenza più importante è che gli oggetti Flash non sono pagine web. Non c’è bisogno di iniettare un oggetto Flash all’interno di una pagina web per eseguirlo: è sufficiente caricare il contenuto. Ciò significa che se io metto un oggetto Flash sul tuo server, posso eseguire degli script nello stesso contesto del tuo dominio”.
Interrogata sulla questione, Adobe ha dichiarato a Foreground che “sfortunatamente non c’è una soluzione semplice”, e il motivo è che “è molto difficile risolvere il problema senza compromettere il funzionamento dei contenuti legittimi sparsi per il Web”. La mamma di Flash ritiene sia molto più proficuo “educare” sviluppatori e web designer a comprendere tutti gli aspetti della same-origin policy di Flash ActionScript, in modo da aggirare il problema in fase di creazione dei siti web.
Murray ha precisato che al momento non ci sono segnalazioni di attacchi che facciano leva su questa debolezza, tuttavia “ci sono prove che dimostrano come i cracker si stiano muovendo in questa direzione”.
Alessandro Del Rosso