W popularnej pluginie multimedialnym Adobe Flash znaleziono niezwykle niebezpieczną lukę, która otwiera nowe możliwości dla hakerów na przeniknięcia do komputera ofiary. Analitycy z firmy Foreground Security stwierdzili, że w sieci znajdują się już filmy i witryny wykorzystujące nowe luki.

W luce Adobe nie jest samotne, podobny problem znaleziono w usługach Google takich jak Gmail. Eksperci twierdzą, że w przypadku Gmail wykorzystanie luki jest dość trudne, ze względu na to, że atakujący musi znać dane na temat użytkownika, aby stworzyć dogodne warunki ataku.

Jednakże znalezione usterki mają charakter koncepcyjny i mogą wpływać na inne technologie interakcyjne, takie jak JavaScript. Brak Arkin, dyrektor ds bezpieczeństwa Adobe, stwierdził że proste patchowanie nic tu nie zdziała, zaś sama luka leży w samej koncepcji. To powoduje, że problem dotyczy wszystkich stron wykorzystujących aktywne skrypty: Flash, Silverlight, JavaScript. Zagrożenie może pochodzić z każdej strony, która pozwala na tworzenie treści przez użytkowników.

Użytkownik może przysłać plik JAR, MP3 czy PDF tak zmodyfikowany, że będzie zawierał szkodliwy kod wykonywalny, który zagrozi użytkownikom strony. O ile JavaScript umożliwia dostęp do treści tylko z samej domeny, o tyle po przejściu na ActionScript wielu deweloperów uważało że jest tak samo. A to już jest błędne twierdzenie. Wprawdzie SWF nie może mieć dołączonego innego formatu, ale już samorozpakowujący się ZIP może mieć w sobie wykonywalny plik SWF. Problemem jednak nie jest sam Flash, a polityka bezpieczeństwa stosowana na witrynach. Po prostu zasada jest jedna, nie można ufać treściom dostarczanym przez użytkowników.

Źródło: cybersecurity