Una falla en el software Flash, de Adobe, puede ser explotada por atacantes para comprometer un sitio que le da permiso para actualizar el contenido - si, por ejemplo, Gmail de Google - y luego en silencio atacar a los visitantes de estos sitios, dijo hoy (13 / 11) los investigadores de una empresa de seguridad de los EE.UU..

Adobe no refuta las afirmaciones de los investigadores, pero dijo que es responsabilidad de los diseñadores y administradores para crear aplicaciones y sitios web capaces de prevenir este tipo de ataques.

"El tamaño del problema es enorme", dijo Mike Murray, director de seguridad de seguridad de primer plano, Florida. "Cualquier sitio web que permite la actualización de contenidos para el visitante es vulnerable, y la mayoría de ellos no están preparados para manejarlo".

Permiso de riesgo
El problema está en las reglas de operación del ActionScript de Flash, que se programa para permitir el acceso a un objeto Flash a otros contenidos sólo desde el área donde se originó, dijo Mike Bailey, un investigador de seguridad senior de primer plano.

Desafortunadamente, explica Bailey, si un atacante puede infiltrarse en un objeto Flash malicioso en un sitio Web - a través de su capacidad de generar contenido, que por lo general permite a las personas para actualizar los archivos de un sitio o servicio - que se puede ejecutar scripts maliciosos en el contexto de este dominio .

Bailey explicó que un hacker podría explotar la vulnerabilidad en Flash. "Es relativamente sencillo", dijo. "Todo lo que necesita hacer es crear un objeto Flash malicioso, y cargarlo en el servidor web."

"Si un foro permite a las personas para cargar una imagen como avatar, alguien podría subir un archivo Flash malicioso que se parece a un avatar," dijo Bailey. "Cualquiera que haya visto este avatar sería vulnerable al ataque."

Sin esperanza
En respuesta al primer plano, Adobe dijo que la falla es "incorregible", y trata de educar a los administradores para ocultar el sitio de ellos, el agujero. Pero la estrategia no ha tenido mucho éxito.

Brad Arkin, director de Adobe para la privacidad y seguridad de los productos, de acuerdo en que el problema no puede resolverse con un parche para Flash.

"Para nosotros, este es un problema genérico que afecta a cualquier sitio que permite secuencias de comandos ActiveX, no sólo en Flash, pero tecnologías como Silverlight y JavaScript. Incluso si Flash tenía una protección mágica, el problema seguiría existiendo para todos los sitios de contenido activos que permiten a los usuarios subir archivos. "

Por otra parte, Adobe se ha centrado en la práctica un buen diseño, explicando a los diseñadores y administradores de los riesgos de permitir a los usuarios actualizar el contenido. "Los sitios no deben permitir las actualizaciones en dominios de confianza", afirma Arkin.

Incluso Gmail
Uno de los sitios en riesgo de ataques maliciosos es GMail, de Google. El servicio es el que permite a los usuarios actualizar y descargar los archivos adjuntos - a pesar de Bailey admite que explotan de correo web de Google es "extremadamente difícil".

A pesar de primer plano no ha detectado ningún ataque con esta técnica, Murray dijo que no había evidencia de que los hackers están recurriendo a este tipo de tácticas. "Empezamos a notar un uso más intenso de Flash en los últimos días", dijo.

Mientras tanto, la única defensa real que los usuarios puedan emplear contra este tipo de ataques es dejar de usar flash - o, si ello es imposible restringir su uso a sitios conocidos por ser seguros con herramientas como NoScript addon de Firefox o Internet Explorer ToogleFlash.

Fuente: http://idgnow.uol.com.br/seguranca/2009/11/13/falha-no-flash-expoe-sites-a-ataque-hacker/