useful notes for admins
Posts tagged Flash
Blitzableiter – свободный анализатор уязвимостей во Flash контенте
0867 days
На конференции Chaos Communication Congress новый открытый проект , представляющий собой инструмент для транзитного анализа Flash роликов перед их отображением пользователю. Программа позволяет выявить и заблокировать выполнения злонамеренных участков ActionScript кода, интегрированных в SWF файлы с целю поражения уязвимой версии плагина Adobe Flash, а также предотвратить использование Flash для проведения некоторых видов атак на браузер.
Фундаментальный баг Adobe Flash не будут исправлять
0
Специалисты по безопасности из Foreground Security обнаружили , которая затрагивает почти все сайты, поддерживающие загрузку пользовательского контента, даже если сам сайт формально не показывает Flash. Дело в том, что ничто не мешает сделать object/embed на какой-нибудь страничке, не имеющей отношения к сайту, потому как Flash имеет доступ к куки того домена, с которого он загружен (а не того, где расположен тег object).
Проблема заключается в свойстве Actionscript same-origin, которое допускает выполнение активного контента в рамках данного домена. Но если UGC можно загрузить на доверенный сайт, то вредоносный скрипт будет выполнится у всех посетителей этого сайта, у которых установлен Flash.