A vulnerabilidade de política de mesma origem no Adobe Flash divulgada semana passada por um pesquisador da Foreground Security é mais séria que um simples bug no software, dizem os experts. Ela ilustra uma falha fundamental no modo como objetos Flash são gerenciados por servidores e navegadores, levando a uma séria fraqueza em ambas as pontas do canal de comunicação na internet.Semana passada, Mike Bailey, da Foreground Security , publicou uma longa descrição de várias questões afetando o Adobe Flash, o que pode levar a cenários em que um hacker poderia fazer o upload de um arquivo Flash malicioso para um servidore remoto e então fazer com que esse servidor envie o conteúdo para os usuários.
Um objeto flash não precisa ser injetado em uma página web para ser executado – basta carregar o conteúdo. Vamos considerar asimplicações dessa política por um momento: se eu colocar um objeto Flash no seu servidor, posso executar scripts no contexto do seu domínio.
É assustador. Quanto sites permitem aos usuários fazer o upload de arquivos? Quantos desses sites permitem o download de arquivos, a partir do mesmo domínio? Quase todos são vulneráveis. Para ter certeza, qualquer servidor que permita uploads invalidados de conteúdos permite a um hacker subir páginas html com scripting cross-site ou outros ataques, mas arquivos SWF não precisam de uma extenão .swf ou cabeçalhos especiais para serem executados. Isso significa que uploads de imagens mal validados serão vulneráveis, assim como serviços de documentos online, serviços de backup, filesharing, webmail e mais.
É bem ruim. Mas, como Rich Mogull, da Securosis, aponta, se você está permitindo aos usuários fazer o upload de código executável para seu servidor, você já estava encrencado. É complicado oferecer segurança se você deixa as pessoas rodarem códigos em seu site. O problema com o Flash, dizem os experts, é que os hackers podem tomar vantagem do fato de que a tencologia não presta atenção aos cabeçalhos (content headers) e extensões de arquivos. em vez disso, apoia-se nos file headers para identificar um arquivo.
Isso também não é bom. Significa que, uma vez que o hacker pôs o arquivo no servidor, ele irá rodar no mesmo contexto do restante da página, não importa como o conteúdo está denominado pelo servidor. Hackers também podem fazer arquivos Flash parecerem outros tipos de conteúdo, como um arquivo zip, e ele será tratado como um legítimo zip em vez de um programa Flash.
Cada uma dessas questões é problemática. Mas, quando todas são combinadas, e você adiciona o fato de que o Flash não presta atenção à política de mesma origem, e temos a Adobe em sérios problemas. A empresa, no entanto, não vê dessa forma. Em resposta à pesquisa de Bailey postada na sexta, a Adobe disse que os problemas apontados por ele não representam "uma vulnerabilidade no Adobe Flash Player."
Bailey disse em entrevista que está preocupado que o time de segurança da Adobe esteja confuso sobre o grau de importância da vulnerabilidade.
"Não estou certo de que entenderam o problema direito. É complicado," disse Bailey. "Espero que eles olhem para isso com mais atenção."
Se esse problemas representam realmente uma ameaça não é a questão central; mas ainda é um problema da Adobe. Obviamente, donos de site são responsáveis por validar qualquer conteúdo que seja colocado em seus sites, mas muitas dessa páginas são desenhadas especificamente para permitir aos usuários fazerem o upload de conteúdo. E os usuário não se importam se é uma vulnerabilidade técnica. Apenas sabem que o conteúdo Flash é agora altamente suspeito e querem que isso seja consertado.
"Esse não é um problema do tipo fim-do-mundo, mas é sério o bastante para que a Adobe o resolva logo. Eles deveriam forçar o Flash a respeitar os cabeçalhos HTTP, e poderiam facilmente filtrar arquivos Flash "disfarçados". O Flash também deveria respeitar a política de mesma origem, e não permitir ao site hospedeiro afetar o site que está sendo apresentado", escreveu Mogull.
Nenhum comentário:
Postar um comentário