Dans un article plutôt alarmiste, le quotidien britannique The Register se fait l'écho des découvertes d'un membre de la Google Security Team et d'un spécialiste des tests d'intrusion travaillant pour la firme iSEC Partners. Tous deux viennent de publier un livre qui pourrait tomber entre de mauvaises mains et dans lequel ils décrivent des vulnérabilités Flash SWF ( ShockWave Flash ). Sont ainsi concernés tout un ensemble d'animations Flash et autres lecteurs audio, vidéo, très prisés sur le Web.
Selon ces chercheurs, certaines applications utilisées pour créer du contenu SWF sont actuellement disponibles avec des fichiers SWF pré-générés qui contiennent des vulnérabilités XSS ( Cross site scripting ), rendant ainsi possible l'injection de chaînes de caractères malicieuses dans du code légitime. Parmi ces applications, Adobe Dreamweaver CS3 et Adobe Acrobat Connect.
Les vulnérabilités XSS sont exploitées quand des attaquants leurrent les utilisateurs en les incitant à cliquer sur des liens malicieux véhiculés par mail ou présents sur une page Web. Si un internaute est connecté à un compte sur un site Web et qu'il clique sur un lien SWF malicieux, l'attaquant peut alors avoir accès à sa session. Pour le moins inquiétant lorsque ces sites sont des sites bancaires, les chercheurs ayant par ailleurs indiqué que plus de 500 000 applets s'appuyant sur la technologie Flash et présents sur des sites gouvernementaux ou de média sont vulnérables.
De son côté, Adobe a confirmé ces dires et annonce une mise à jour de Flash Player pour début 2008 tout en recommandant pour les utilisateurs finaux l'installation de la dernière version 9.0.115.0, qui offre une solution pour un problème de sécurité également exposé dans le livre. La priorité de l'éditeur américain reste néanmoins une mise à jour pour les fichiers pré-générés vulnérables dans ses logiciels de création, prévue pour janvier 2008.
Selon ces chercheurs, certaines applications utilisées pour créer du contenu SWF sont actuellement disponibles avec des fichiers SWF pré-générés qui contiennent des vulnérabilités XSS ( Cross site scripting ), rendant ainsi possible l'injection de chaînes de caractères malicieuses dans du code légitime. Parmi ces applications, Adobe Dreamweaver CS3 et Adobe Acrobat Connect.
Les vulnérabilités XSS sont exploitées quand des attaquants leurrent les utilisateurs en les incitant à cliquer sur des liens malicieux véhiculés par mail ou présents sur une page Web. Si un internaute est connecté à un compte sur un site Web et qu'il clique sur un lien SWF malicieux, l'attaquant peut alors avoir accès à sa session. Pour le moins inquiétant lorsque ces sites sont des sites bancaires, les chercheurs ayant par ailleurs indiqué que plus de 500 000 applets s'appuyant sur la technologie Flash et présents sur des sites gouvernementaux ou de média sont vulnérables.
De son côté, Adobe a confirmé ces dires et annonce une mise à jour de Flash Player pour début 2008 tout en recommandant pour les utilisateurs finaux l'installation de la dernière version 9.0.115.0, qui offre une solution pour un problème de sécurité également exposé dans le livre. La priorité de l'éditeur américain reste néanmoins une mise à jour pour les fichiers pré-générés vulnérables dans ses logiciels de création, prévue pour janvier 2008.
