I november 2011 fjernet Adobe en sårbarhet i selskapets Adobe Flex SDK-kompilartor med en sikkerhetsoppdatering. Den spesielle med denne sårbarheten, CVE-2011-2461, var at det ikke var tilstrekkelig å oppdatere utviklerprogramvaren. Sårbarheten kunne også åpne for Cross-Site Scripting-angrep i applikasjonene som ble bygget med verktøyet. Derfor var det også nødvendig for utviklerne å kontrollere og eventuelt oppdatere alle Flash-applikasjoner (SWF-filer) som var blitt skap med kompilatoren. En beskrivelse av hvordan dette kunne gjøres med et eget verktøy, finnes her.
Sårbare Flash-applikasjoner
Nå, mer enn tre år senere, florerer det fortsatt med slike sårbare SWF-filer. Dette viser en undersøkelse gjort av sikkerhetsingeniørene Luca Carettoni fra LinkedIn og Mauro Gentile fra Minded Security. Sårbarhetene kan utnyttes selv om man har de nyeste utgavene av både nettleseren og Flash Player.
Mellom oktober og desember i fjor skannet sikkerhetsingeniørene nettstedene på Alexas topp 50-liste, Adobe.com og diverse nettsteder som tilbyr dusør for sårbarheter. En rekke av nettstedene, inkludert tre av de ti øverste på Alexas liste, brukte sårbare Flash-applikasjoner. Ingen av nettstedene er navngitt.
Ukjent for de fleste
I ettertid har Carettoni og Gentile tatt direkte kontakt med de største av de berørte nettstedene. Men de mener at det ikke vil være mulig å nå ut til et bredere publikum uten samtidig å avsløre de tekniske detaljene om sårbarhetene. Dette er detaljer som i liten grad kom fram i 2011, noe som trolig også har ført til at de sårbare applikasjonene i liten grad har blitt utnyttet av ondsinnede.
– Som antydet av de mange sårbare applikasjonene vi har kommet over, er det klart at CVE-2011-2461 ikke oppnådde tilstrekkelig oppmerksomhet tilbake i 2011. Ved å forklare de potensielle følgene og ved å utgi et verktøy som kan identifisere sårbare SWF-filer, håper vi å kunne bidra til at problemet utryddes, skriver Carettoni og Gentile i et blogginnlegg.
Risikoen
Ifølge Carettoni og Gentile gjør de sårbare Flash-applikasjonene det mulig for angripere å stjele data fra ofrene, men også å utføre handlinger på vegne av ofrene, ved at den grunnleggende Same-Origin-Policy-en kan omgås. Dette kan utnyttes til å sende både økt-identifikatorer og brukerdata til angriperen.
Flere detaljer finnes i blogginnlegget og i presentasjonen nedenfor.