Lukács
5 °C
20 °C

Néha úgy érzed, mintha két valóság létezne?

Több infó

Támogasd a független újságírást, támogasd az Indexet!

Nincs másik olyan, nagy elérésű online közéleti médiatermék, mint az Index, amely független, kiegyensúlyozott hírszolgáltatásra és a valóság minél sokoldalúbb bemutatására törekszik. Ha azt szeretnéd, hogy még sokáig veled legyünk, akkor támogass minket!

Milyen rendszerességgel szeretnél támogatni minket?

Mekkora összeget tudsz erre szánni?

Mekkora összeget tudsz erre szánni?

Súlyos biztonsági rést találtak a Flash technológiában

2009.11.13. 16:39
Súlyos biztonsági rést talált az interneten széles körben elterjedt Flash technológiában az amerikai Foreground Security biztonságtechnikai cég.

A szakértők szerint a hiba nagyon komoly, és minden olyan oldalt érint, ami engedélyezi fájlok feltöltését, úgy hogy ezeket a fájlokat aztán más felhasználóknál jeleníti meg. A legjobb példa egy fórum, ahová bárki feltölthet magáról egy fotót, amit majd a kommentjei mellett jelenít meg a rendszer mindenkinél, aki beleolvas a hozzászólásokba. A hackernek nincs más dolga, mint a megfelelően preparált Flash fájlt feltölteni képnek álcázva, és az abban rejlő kártékony kódot innentől kezdve bárki gépén le tudja futtatni, akinél csak megpróbálja a böngésző a képet megjeleníteni.

Természetesen a Foreground szakemberei nem mondtak pontosabbat arról, hogy mi ez a megfelelő mód, hogy ne segítsenek a hackereknek erre épülő támadásokat indítani. A Flasht fejlesztő Adobe elismerte a sérülékenység létezését, de azt mondják, a hiba nem olyan jellegű, amit egy egyszerű javítócsomag orvosolni tudna, ehelyett a webfejlesztőknek kell úgy átalakítaniuk az oldalaikat, hogy bezáruljon a biztonsági rés. Például ha külön doménen kezelik a feltöltött fájlokat, mint az oldal kódját, ahová ezek beépülnek, a fenyegetés máris elhárult (így működik például a Hotmail vagy a YouTube is). Még az Adobe egyes oldalainak kódjában is ott van a biztonsági hiba, hogy várhatjuk el, hogy ők védjenek meg minket? – teszi fel a költői kérdést a Foreground.

Brad Arkin, az Adobe biztonságért felelős vezetője azt mondta a Computerworldnek, hogy a helyzet még ennél is súlyosabb, és nem csak a Flasht érinti, de minden olyan rendszer sebezhető lehet, ami aktív scripteket engedélyez, mint a Javascript vagy a Silverlight. Támadható lehet elvileg a Gmail is ezzel a módszerrel, a levélmellékletként feltöltött fájlokon át, de a Foreground szerint a gyakorlatban extrém nehéz lehet a Google egyéb biztonsági rendszereit kijátszva, erre építeni egy támadást.

Általában az ilyen biztonsági réseket csak azután hozzák nyilvánosságra, amikor már kész a javítás hozzá, de ebben az esetben ez nem működik, és a rendszergazdák, illetve maguk a felhasználók tudnak védekezni. „Szinte minenki, aki használja az internetet, potenciális áldozat lehet” - figyelmeztetett Mike Murary, a Foreground Security vezetője. „Bármelyik közösségi oldal, álláskereső, randioldal, vagy on-line bolt felépítésében benne van a lehetőség a támadásra, ráadásul a felhasználó sosem veszi észre, ha a böngészőjében lefutó külső script éppen a hacker rosszindulatú kódja”.

Bár még egyetlen nagyobb hackertámadásról sem tudunk, ami ezt a biztonsági rést használta volna ki, Murray a Flash teljes letiltását, vagy a Firefox NoScripthez hasonló kiegészítő programok telepítését ajánlja a netezőknek, amivel be lehet állítani, hogy csak megbízható oldalaknak engedélyezze a böngésző a scriptek futtatását.