Tomado de http://myspace.wihe.net/grave-vulnerabilidad-de-flash/
Los investigadores de Google y una conocida empresa de seguridad han documentado graves vulnerabilidades en las películas flash en decenas de miles de sitios susceptibles a los ataques que roban los datos personales de los visitantes.
Los errores de seguridad residen en los subprogramas de Flash, las unidades de creación omnipresente para películas y los gráficos que animan sitios a través del Web. También se conoce como archivos SWF, son vulnerables a ataques en el que se insertan cadenas malintencionadas en el código legítimo mediante una técnica conocida como secuencias de comandos entre sitios o XSS. Actualmente no existen parches para las vulnerabilidades, que se encuentran en los sitios operados por las instituciones financieras, organismos gubernamentales y otras organizaciones.
Las vulnerabilidades se describen en el libro Hacking Exposed Web 2.0: Web 2.0 Seguridad, Secretos y soluciones. Los autores del libro, que trabajan para iSEC Partners y Google, pusieron en evidencia a través de una búsqueda web revelando más de 500,000 vulnerabilidades en las principales empresas, el gobierno y los sitios de los medios de comunicación.
Alex Stamos, uno de los autores del libro dice:
"Entre tanto, la gente tendrá que pensar: '¿Qué tipo de flash estoy utilizando en mi sitio', y manualmente probar las vulnerabilidades."
Esto podría ser una tarea gigantesca, ya que una media docena de los más populares programas de autoría de Flash generan automáticamente los errores de contenido. Eliminar el contenido vulnerable a ataques requerirán hacer una revisión de cada uno de los archivos SWF del sitio web. Las actualizaciones de Adobe se esperan muy pronto, pero ellos probablemente no sofoquen la amenaza completamente, según Stamos.
Los autores han estado trabajando desde el verano con Adobe y United States Computer Emergency Readiness Team para coordinar un recurso. Un representante de Adobe dijo que los parches deben ser puestos para el publico en general en las próximas semanas. Entre tanto, los usuarios finales pueden utilizar el plug-in de Firefox NoScript o utilizar otros métodos para bloquear las películas Flash de los sitios web sensibles. Pueden utilizar también los datos de validación de las bibliotecas, así como seguir las directrices del Adobe Whitepaper.
Una actualización de seguridad de Adobe publicado esta semana para el Flash Player no corrige las vulnerabilidades, dijo Stamos.
Actualmente veo en mi país que una gran cantidad de bancos utilizan las películas flash para sus animaciones y en un sin fin de campañas, asi que a ponerse a trabajar y están advertidos hay que bloquear todos los archivos swf de los sitios web, no se si contaran con expertos de seguridad pero no es complicado bloquear las películas flash basta con indicar a los usuarios que utilicen Firefox e instalen el plugin NoScript sera suficiente, me imagino que en Internet Explorer existirá algún programa similar aunque francamente lo dudo.
El libro es autoría de Rich Cannings, un ingeniero senior de seguridad de Google y Himanshu Dwivedi, Zane Lackey, Chris Clark y Stamos de iSEC. Será publicado muy pronto por The McGraw-Hill Companies.
Sueter
Perro Manson
Los investigadores de Google y una conocida empresa de seguridad han documentado graves vulnerabilidades en las películas flash en decenas de miles de sitios susceptibles a los ataques que roban los datos personales de los visitantes.
Los errores de seguridad residen en los subprogramas de Flash, las unidades de creación omnipresente para películas y los gráficos que animan sitios a través del Web. También se conoce como archivos SWF, son vulnerables a ataques en el que se insertan cadenas malintencionadas en el código legítimo mediante una técnica conocida como secuencias de comandos entre sitios o XSS. Actualmente no existen parches para las vulnerabilidades, que se encuentran en los sitios operados por las instituciones financieras, organismos gubernamentales y otras organizaciones.
Las vulnerabilidades se describen en el libro Hacking Exposed Web 2.0: Web 2.0 Seguridad, Secretos y soluciones. Los autores del libro, que trabajan para iSEC Partners y Google, pusieron en evidencia a través de una búsqueda web revelando más de 500,000 vulnerabilidades en las principales empresas, el gobierno y los sitios de los medios de comunicación.
Alex Stamos, uno de los autores del libro dice:
"Entre tanto, la gente tendrá que pensar: '¿Qué tipo de flash estoy utilizando en mi sitio', y manualmente probar las vulnerabilidades."
Esto podría ser una tarea gigantesca, ya que una media docena de los más populares programas de autoría de Flash generan automáticamente los errores de contenido. Eliminar el contenido vulnerable a ataques requerirán hacer una revisión de cada uno de los archivos SWF del sitio web. Las actualizaciones de Adobe se esperan muy pronto, pero ellos probablemente no sofoquen la amenaza completamente, según Stamos.
Los autores han estado trabajando desde el verano con Adobe y United States Computer Emergency Readiness Team para coordinar un recurso. Un representante de Adobe dijo que los parches deben ser puestos para el publico en general en las próximas semanas. Entre tanto, los usuarios finales pueden utilizar el plug-in de Firefox NoScript o utilizar otros métodos para bloquear las películas Flash de los sitios web sensibles. Pueden utilizar también los datos de validación de las bibliotecas, así como seguir las directrices del Adobe Whitepaper.
Una actualización de seguridad de Adobe publicado esta semana para el Flash Player no corrige las vulnerabilidades, dijo Stamos.
Actualmente veo en mi país que una gran cantidad de bancos utilizan las películas flash para sus animaciones y en un sin fin de campañas, asi que a ponerse a trabajar y están advertidos hay que bloquear todos los archivos swf de los sitios web, no se si contaran con expertos de seguridad pero no es complicado bloquear las películas flash basta con indicar a los usuarios que utilicen Firefox e instalen el plugin NoScript sera suficiente, me imagino que en Internet Explorer existirá algún programa similar aunque francamente lo dudo.
El libro es autoría de Rich Cannings, un ingeniero senior de seguridad de Google y Himanshu Dwivedi, Zane Lackey, Chris Clark y Stamos de iSEC. Será publicado muy pronto por The McGraw-Hill Companies.
Sueter
Perro Manson
