Спустя более шестнадцати месяцев после того, как исследователи предупредили о
наличии в файлах Adobe Flash критической уязвимости, делающей веб-сайты
беззащитными перед фишингом и другими серьезными атаками, огромное число страниц
(в том числе, и сам Adobe.com) остаются подверженными ей.
Проблема кроется в глючных SWF-файлах, предназначенных для отображения
баннеров и прочего анимированного контента. В декабре 2007 года команда
экспертов выяснила, что такие файлы могут быть использованы хакерами для
подделки банковских, правительственных и других доверенных ресурсов. В течение
нескольких следующих месяцев специалисты настойчиво напоминали о том, что
устранить неприятность не так-то просто, поскольку это может потребовать
переработки миллионов графических файлов, иногда – с нуля.
Их предупреждения кажутся теперь пророческими. Согласно недавней
публикации на сайте XSSed, опасные SWF-файлы содержатся даже на сайте
Adobe.com. Среди прочих ресурсов упоминаются Marfin Egnatia Bank и греческий
производитель электроники Plaiso.gr. Во время написания данной новости (более
суток спустя после публикации отчета на XSSed) все три сайта по-прежнему
остаются уязвимыми.
Одной из причин, почему уязвимость нельзя быстро закрыть, заключается в том,
что для этого требуется предпринять сразу много шагов. Во-первых, веб-мастерам
нужно пропатчить все приложения, используемые для рендеринга SWF-файлов. Затем
они должны проверить каждый из таких файлов, размещенных на сайте, и переделать
их в случае необходимости. Недоработка кроется в параметре clickTAG=, которым
можно легко манипулировать с целью выполнения вредоносных скриптов в браузерах
тех людей, которые просматривают вредоносный контент.
