Фирма Foreground Security обнаружила критическую уязвимость в приложении
Adobe Flash. Дыра позволяет эксплуатировать политики контроля доменной
принадлежности (Same Origin Policy) Adobe Flash для доступа к практически любому
сайту, на котором имеется сгенерированный пользователем контент. Патча,
закрывающего уязвимость, на данный момент не существует.
Обнаруживший данную проблему главный аналитик Foreground Security Майк Бэйли
пишет: “вне зависимости от того, используете вы Flash или нет, вы все равно
можете быть уязвимы, поскольку дыра напрямую влияет на пользователей, а не на
серверы. В числе подвергающихся риску сайтов находятся крупнейшие социальные и
медиаресурсы, порталы компаний из списка Fortune 1000 и сайты правительственных
агентств. Можно даже сказать, что если у вас есть сайт, то вы уже уязвимы”.
Сделав столь печальное открытие , специалисты Foreground Security сообщили о
нем фирме Adobe, а также компании Google, чьи сервисы Google Applications,
включая почтовую службу Gmail, тоже являются уязвимыми к эксплоиту.
Бэйли отметил также, что особенно неприятной эту дыру делает то
обстоятельство, что Flash-контент можно замаскировать под самые разные виды
файлов, включая документы Word и Excel, изображения и архивы. И в самом деле,
вряд ли кто-нибудь ожидает, что будет атакован какой-нибудь картинкой.
Эксперты предоставили небольшую видеодемонстрацию работы эксплоита Майкла Бэйли
для сервиса Gmail, возможность использования котрого, к счастью, уже закрыта.