Articulo escrito

  • on 13.11.2009
  • a las 05:03 PM
  • por rhypee

Enlaces de este articulo

category: Articulo

Defecto de Flash pone la mayoría de las Webs en peligro. 0

Nov13

No es ninguna novedad que Flash tiene muchos Bugs que permiten ser explotados por hackers, no es algo que se descubre ahora. Pero ha sido descubierto uno recientemente  que puede comprometer casi todos los sitios  de Internet, incluido Gmail. El fallo esta en la forma de que Flash permite subir contenidos y que permitiría a los atacantes realizar ataques con el mayor absoluto silencio. Adobe por el momento no ha negado este error pero se remite a que los administradores y responsables de diseñar las aplicaciones tienen que evitar  estos ataques. Lo que es lo mismo, mi servicio tiene un error pero tu aplicación lo tiene que solucionar.

La magnitud de este error es demasiado grande ha dicho Mike Murray, el jefe de seguridad de Información de Orlando. Y es que cualquier sitio que permita aunque sea solamente subir un avatar es vulnerable y la gran mayoría de estos sitios no están configurados para evitar este error. El problema esta en la forma que ActionScript esta diseñado para limitar el acceso  de un objeto Flash. Por lo que si un usuario puede depositar un objeto Flash malicioso en un sitio web , puede ejecutar scripts maliciosos.¿Cuantos usuarios permiten subir archivos a los usuarios? Demasiados por no decir casi todos.

El proceso es demasiado simple, crear un objeto Flash malicioso y subirlo a la web. No hay que hacer nada más. Para que todo el mundo lo entendiera mejor, Mike expuso un ejemplo y para ello utilizo un foro: Si un foro  permite a sus usuarios subir una imagen para su avatar, alguien podría subir un objeto Flash malicioso que se parezca a un avatar. Y todos los usuarios serian vulnerables. Pero por si fuese poco esto no te parece lo suficientemente grave espera a leer lo siguiente.

Después de que Adobe haya dicho que los desarrolladores de aplicaciones son los responsables de evitar esto, lo secunda diciendo que a primera instancia el error es “unpatchable”, o lo que es lo mismo, que no se puede parchear o arreglar. En cambio esta intentando que los administradores de los sitios cierren la opción de subir archivos hasta que se encuentre una solución, lo que no ha tenido mucho éxito hasta el momento.

Brad Arkin, director de Adobe ha dicho que el problema no puede resolverse con un Parche para Flash debido  que es un problema que afecta  a cualquier sitio que permita  secuencias ActiveX, no solo para Flash, sino también para Javascript. Esta es la razón por lo que ha hablado con los administradores  de que no permitan subir contenido a su web.

Como en toda noticia desastrosa llega una graciosa y en esta noticia esta que incluso los sitios web de Adobe son vulnerables a ataques por este método. Entonces como espera Adobe que los demás se protejan,si ni siquiera ellos se protegen.¿que hacer pare evitar esto? No utilizar Flash y usar extensiones como NoScript para Firefox o ToggleFlash para Internet Explorer.

Visto en ComputerWorld

Si te gusto, comparteme These icons link to social bookmarking sites where readers can share and discover new web pages.
  • Digg
  • del.icio.us
  • BarraPunto
  • Facebook
  • Google Bookmarks
  • Meneame
  • Technorati
  • TwitThis
  • Wikio ES

subscribe to comments RSS

Este post no no tiene aun comentarios

Escribe un comentario, es gratuito

* these are required fields

rhypee 2.0 is powered by WordPress and FREEmium Theme.
developed by Dariusz Siedlecki and brought to you by FreebiesDock.com