Způsob, který umožňuje útočníkovi získat přístup ke cookies, včetně těch, které obsahují autentizační údaje uživatele, objevil bezpečnostní analytik společnosti Google Michele Spagnuolo, který pracuje pro firmu ve švýcarském Curychu.
Nástroj pojmenovaný Rosetta Flash umožňuje vytvářet škodlivé .SWF soubory. Útočníci nejprve navedou uživatele k návštěvě webové stránky obsahující škodlivý soubor vytvořený prostřednictvím nástroje Rosetta Flash. Ten následně umožní získat přístup k autentizačním cookies uloženým v prohlížeči.
Tip: Princip fungování Rosetta Flash popsal Spagnualo zde (PDF, 1,9 MB)
Nejdříve na objevené riziko zareagovala pochopitelně společnost Google. Zabezpečila všechny svoje služby včetně YouTube. Dříve než Spagnuolo na svém blogu zveřejnil o nástroji Rosetta Flash podrobné informace, kontaktoval i další velké provozovatele internetových služeb, které mohly být v ohrožení, včetně eBay, Tumblru, Twitteru či Instagramu. Avízo zamířilo také ke tvůrci Flashe, firmě Adobe.
Ta už vydala pro Flash player záplatu, která zranitelnost řeší.
These updates include additional validation checks to ensure that Flash Player rejects malicious content from vulnerable JSONP callback APIs (CVE-2014–4671).
Pokud používáte prohlížeč Chrome nebo Internet Explorer verze 10 a 11, potenciální bezpečnostní riziko za vás vyřeší automatická aktualizace. Uživatelům ostatních prohlížečů se doporučuje, aby co nejdříve aktualizovali Flash.
Zdroj: Blog Michela Spagnuola a ArsTechnica
ČLÁNKY DO MAILU