Connessioni / Next / Search / Sicurezza / Social
Bug di Flash. E mezzo Web è a rischio
Adobe è al lavoro su un aggiornamento per Flash Player: lo scopo è correggere una vulnerabilità legata alle animazioni rilasciate in questo popolare formato e riscontrata in un numero sterminato di siti Web.
Il problema è emerso per la prima volta a dicembre 2007, per merito del ricercatore di Google Rich Cannings: un file in formato .swf (Shockwave Flash) può rappresentare un efficace veicolo d’attacco di tipo cross-site scripting, permettendo di creare false pagine per azioni di phishing o, ben peggio, inserirsi in sessioni Web aperte da utenti collegati ai propri sistemi di Internet banking.
Da allora, Adobe e gli altri produttori di software hanno corretto i propri software di sviluppo per evitare di creare file Flash vulnerabili, ma - come ha dichiarato Cannings alla recente CanSecWest Conference - “vi sono più di 500.000 file vulnerabili su Internet, e dubito che molti di essi verranno mai ripuliti, perché è un lavoro immane. Più di 10.000 siti ospitano contenuti bacati”.
Per questi motivi, Cannings aveva sollecitato Adobe a modificare Flash Player, in modo tale da eseguire controlli più rigidi e scongiurare la possibilità di attacchi basati su cross-site scripting. L’azienda ha risposto promettendo “a breve” la disponibilità dell’aggiormento; il problema per Adobe risiede ora in una soluzione che non vada a impattare sulla compatibilità con i filmati Flash sviluppati in precedenza.
Per Cannings, “una soluzione efficace è tecnicamente possibile. Ma se Adobe riuscisse a convincere i produttori di browser Web ad apportare alcune modifiche, le cose sarebbero ben più semplici”.
Ancora nessun commento.