Независимый исследователь, известный под ником MustLive, сообщил о том, что
ему удалось обнаружить свыше восьми миллионов файлов Adobe Flash, которые делают
те сайты, на которых они расположены, уязвимыми к межсайтовому скриптингу.

Среди таких ресурсов значатся новостные порталы, онлайн-казино, сайты
банковских организаций и профессиональных спортивных команд. Каждый из них может
быть подвержен атакам, целью которых является исполнение вредоносного кода в
браузерах посетителей и возможная кража данных авторизации.

По словам MustLive, эти flash-файлы содержат неверно написанные ActionScript,
которые обычно используются для подсчета числа кликов по баннеру и содержат
clickTAG или URL.

Этот
и

этот
поисковые запросы в Google показывают, что всего насчитывается порядка
8,3 миллиона подобных уязвимых файлов. В числе тех ресурсов, на которых они
размещены, значится, к примеру, сайт футбольной команды New York Giants, а также
порталы Praguepost.com и ParadaisPoker.com.

Впрочем, MustLive подчеркивает, что наличие неверно написанных файлов еще не
означает, что сайт уже уязвим к XSS-атаке, однако таких примеров предостаточно
(например,

здесь
,

здесь
и

здесь
). А

вот эта страница
, по словам MustLive, может быть использована для получения
cookie пользователей практически любого браузера.

Стоит отдельно подчеркнуть, что вновь обнаруженные баги не являются проблемой
самого ПО от Adobe, дело тут, скорее, в неправильном составлении скриптов. У
Adobe даже имеется

специальное руководство
по безопасному написанию баннеров, ну а
дополнительные рекомендации от MustLive можно изучить
здесь.

Оставить мнение