8 milyon flash dosyasında ciddi güvenlik açığı

Bir güvenlik araştırmacısı 8 milyon adobe flash dosyasında bulunan açıklar ile ziyaret edenlere kötü amaçlı kod sunulduğunu tespit etmiş.

Söz konusu Flash dosyaları haber kuruluşları, bankalar, profesyonel spor takımları ve online kumarhaneler gibi çok çeşitli sitelerde kullanılıyor. Bulundukları sayfaların (ziyaretçilere kötü amaçlı kod çalıştırtma veya bazı durumlarda kullanıcı hesapları gibi bilgileri çalma amaçlı) XSS (cross-site scripting) saldırılarından etkilenmesine yol açıyorlar.

MustLive lakaplı araştırmacı Flash dosyalarının bir banner’a kaç kez tıklandığını saymak için kötü yazılmış ActionScript içerdiğini ve genelde clickTAG veya url parametreleri içerdiğini söylüyor. Bu ve bu google araması etkilenen flash dosyaları ile ilgili 8.3 milyon civarında sonuç getiriyor ve bunların arasında NY Giants futbol takımı sitesi, Praguepost.com ve ParadaisPoker.com sitesi de var. Genelde google sonuçları kısalttığı için gerçek sayı daha da fazla olabilir.

MustLive problemli içeriğe sahip websitelerinin otomatik olarak XSS açıklarından etkilenmeyeceğini de söylüyor. Mesela Citibank web sitesi de bu tip içeriğe sahip olmasına rağmen XSS saldırıları etkili olmamış.

Fakat araştırmacı bu açıkla ilgili çok sayıda örnek de sunuyor:
Örnek 1 , Örnek 2 , Örnek 3

MustLive bu sayfada da herhangi bir web tarayıcısı ile kullanıcı çerezlerini (cookie) ele geçirmenin mümkün olabileceğini söylüyor.

MustLive geçen sene zayıflık içeren 215,000 flash dosyası rapor etmişti.

Ref: http://www.theregister.co.uk/2009/12/22/mass_flash_file_vulnerability/

kaynak: http://www.olympos.org/haberler/adobe/8-milyon-flash-dosyasinda-ciddi-guvenlik-acigi-5973.html

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir