Vulnerabilidad de XSS en mas de 8 Millones de Sitios con Flash Publicada por Axiacamus en Artículos sobre seguridad, Seguridad Web .
Una de las aplicaciones mas comunes utilizadas en los sitios web, son las películas y clics hechos en Adobe Flash (antes de Macromedia), animaciones, slideshows y anuncios publicitarios en este formato, están a la orden del día por toda la red. La facilidad con la que se crean y la gran cantidad de documentación sobre el uso de Flash, a colaborado para que su uso se extienda a millones de sitios web.
A pesar de ser una herramienta muy útil, personalmente pienso que esta sobreutilizada y que tiene gran cantidad de defectos, como no poder ser indexados adecuadamente en los buscadores, la cantidad de recursos que consume cuando se utiliza para visualizar película s o vídeos online, a esta lista de desventajas, ahora hay que sumarle un nuevo fallo de seguridad, descubierto por el investigador MustLive y publicado en su sitio websecurity.com.ua.
El fallo consiste en una vulnerabilidad de XSS (Cross-site scripting) la cual permite incrustar codigo Javascript y/o HTML, en algunas animaciones flash que no validan correctamente sus parámetros de entrada.
Ejemplo del código vulnerable:
Como se puede ver, en el siguiente código actionscript, no se hace validación alguna a las variables obtenidas:
getURL(_root.clickTAG, "_blank");
El codigo anterio podria ser explotado de la siguiente forma:
http://sitiovulnreable/flash.swf?clickTAG=javascript:alert('comunidad dragonjar')
Pero no es la única variable vulnerable a este tipo de vulnerabilidades XSS
getURL(_root.url, "_blank");
Que puede ser explotada de la siguiente forma:
http://sitiovulnreable/flash.swf?url=javascript:alert('comunidad dragonjar')
Para ver el funcionamiento de este tipo de ataques, les dejo este flash en el portal del “Area Metropolitana del Valle de Aburrá”, donde podemos ver que con solo deja correr la animacion , nos ejecutara el alert en javascript que hemos incrustado de forma arbitraria en el archivo flash, por lo que podríamos realizar todo tipo de estafas y engaños utilizando el nombre de esta pagina del gobierno colombiano.
Este problema que afecta millones de sitios en la red (lo cual podemos comprobar con una simple búsqueda en google ”filetype:swf inurl:clicktag”), es aun mas grave si se tiene en cuenta que la mayoría de las personas que manejan Flash y en especial su lenguaje de programación ActionScript, son diseñadores o programadores que no tienen en cuenta la seguridad a la hora de realizar sus trabajos, una muestra de esto lo podemos ver en el periódico ”El Heraldo” de Barranquilla que recomienda el uso de un código vulnerable para realizar la publicidad que se publica en su portal.
Mas Información:
XSS vulnerabilities in 8 millions flash files
Serious web vuln found in 8 million Flash files XSS
c1b3rh4ck
kradjc (kR@d)
d3m4s1@d0v1v0
4v4t4r (4v4t4r)
Alejandro Ramos
alex
belial9826
diego
Dino
gnusumosa (Junior...
Enero 17th, 2010 at 2:53 PM
dentro de poco empezaremos a ver mensajes en html o javascript a si mismo redirecciones a sitios raros porque lastimosamente ese tipo de aplicaciones como dice en el post esta sobre utilizadas
así que a estar mas pendientes de los sitios donde entramos
Enero 17th, 2010 at 5:56 PM
Claro sebastian, afortunadamente contamos con herramientas como http://www.dragonjar.org/noscript.xhtml en mozilla firefox, que nos protegen de este tipo de ataques.
Enero 18th, 2010 at 9:51 AM
[...] This post was mentioned on Twitter by DragoN and Seo Valencia, Hans Steffens. Hans Steffens said: Vulnerabilidad de XSS en mas de 8 Millones de Sitios con Flash – http://bit.ly/4BrBiU [...]
Enero 19th, 2010 at 2:34 AM
Social comments and analytics for this post…
This post was mentioned on Twitter by DragonJAR: Nuevo Post: Vulnerabilidad de XSS en mas de 8 Millones de Sitios con Flash: Una de las aplicaciones mas comunes ut… http://bit.ly/7gVvoN...
Enero 23rd, 2010 at 11:53 AM
Hola si estoy de acuerdo me parece que flash no hace nada por optimizar los recursos anteriormente estaba teniendo consumos del 100% del procesador cuando empezaba a ver videos o animaciones de flash