Исправленная в 2011 г. брешь в комплекте средств для разработки (SDK) Adobe Flex продолжает ставить под угрозу интернет-ресурсы. Об этом сообщил специалист Мауро Джентиле (Mauro Gentile) в соответствующем бюллетене безопасности. Эксплуатация уязвимости CVE-2011-2461, которая затрагивает версии Adobe Flex SDK 3.x и 4.x, позволяет удаленному пользователю с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
По словам Джентиле, в том случае, если файл .SWF был создан при помощи уязвимого компилятора Flex SDK, злоумышленники по-прежнему могут эксплуатировать данную брешь против последних версий web-браузеров и Flash-плагинов. Уязвимость позволяет киберпреступникам похищать данные путем осуществления CSRF-атак или обманом заставляя пользователей выполнить переход на вредоносную web-страницу. В ранних версиях Adobe Flex скомпилированные файлы .SWF некорректно проводят проверку сертификатов безопасности доменов, что может привести к потенциальному возникновению XSS-проблем.
“Поскольку HTTP-запросы содержат файлы cookie и отправляются с домена жертвы, ответы HTTP могут содержать конфиденциальную информацию”, – отметил Джентиле. Специалист совместно со своими коллегами провел масштабное исследование, в ходе которого эксперты определяли SWF-файлы, размещенные на популярных web-сайтах, и анализировали их при помощи специального инструмента, предназначенного для определения уязвимых конфигураций кода. Как выяснилось, уязвимыми оказалось значительное количество интернет-ресурсов, в том числе и три домена, занимающих верхние позиции в рейтинге Alexa Top 100. (Adobe/NovostIT)
