Независимый исследователь, известный под ником MustLive, сообщил о том, что
ему удалось обнаружить свыше восьми миллионов файлов Adobe Flash, которые делают
те сайты, на которых они расположены, уязвимыми к межсайтовому скриптингу.
Среди таких ресурсов значатся новостные порталы, онлайн-казино, сайты
банковских организаций и профессиональных спортивных команд. Каждый из них может
быть подвержен атакам, целью которых является исполнение вредоносного кода в
браузерах посетителей и возможная кража данных авторизации.
По словам MustLive, эти flash-файлы содержат неверно написанные ActionScript,
которые обычно используются для подсчета числа кликов по баннеру и содержат
clickTAG или URL.
Этот и
этот поисковые запросы в Google показывают, что всего насчитывается порядка
8,3 миллиона подобных уязвимых файлов. В числе тех ресурсов, на которых они
размещены, значится, к примеру, сайт футбольной команды New York Giants, а также
порталы Praguepost.com и ParadaisPoker.com.
Впрочем, MustLive подчеркивает, что наличие неверно написанных файлов еще не
означает, что сайт уже уязвим к XSS-атаке, однако таких примеров предостаточно
(например,
здесь,
здесь и
здесь). А
вот эта страница, по словам MustLive, может быть использована для получения
cookie пользователей практически любого браузера.
Стоит отдельно подчеркнуть, что вновь обнаруженные баги не являются проблемой
самого ПО от Adobe, дело тут, скорее, в неправильном составлении скриптов. У
Adobe даже имеется
специальное руководство по безопасному написанию баннеров, ну а
дополнительные рекомендации от MustLive можно изучить
здесь.
