Szerző: Bodnár Ádám

2011. január 10. 11:08:00

Mégsem olyan biztonságos a Flash sandbox

Egy biztonsági szakértő rájött, milyen módszerrel lehet megkerülni az Adobe Flash Playerbe épített "sandbox" biztonsági mechanizmust, amely elméletileg izolálja a Flash tartalmat, gyakorlatilag azonban nem.

Billy Rios biztonsági szakértő blogbejegyzésében hozta nyilvánosságra, hogy sikerült megkerülnie a Flash Player sandbox védelmét. Az Adobe azt állítja, a helyi lemezről megnyitott SWF állományok hozzáférnek ugyan a lemez tartalmához, azonban semmilyen adatot nem tudnak a hálózaton megosztani, így nem lehet segítségükkel adatokat eltulajdonítani. A Rios által publikált információk alapján azonban a védelem foghíjasra sikerült.

Python everywhere! Gyere Pythonozni a HWSW rendezvényeire! Megmutatjuk, hogy a Python nem csak a fejlesztők nyelve, hiszen egyszerűsége miatt bárhol és bárki használhatja.

Rios kutakodással kiderítette, hogy az Adobe egyes kommunikációs protokollok feketelistázásával próbálta meg "izolálni" a sandboxot, kevés sikerrel. A biztonsági szakértő rájött, hogy például a MIME HTML (MHTML) segítségével egy HTTP vagy HTTPS lekérésben helyi adatok adhatók át egy másik szervernek, amely lehet akár egy támadó gépe is. Lehet, hogy az MHTML mellett más kommunikációs protokollok is elkerülték a tiltólistát. Egy támadónak így nincs más dolga, mint hogy rávegye az áldozatát egy SWF fájl letöltésére és elindítására, az állomány pedig a sandbox hibája miatt képes lesz adatokat átadni.

Az Adobe szerint nincs szó súlyos hibáról, mivel a támadónak először el kell juttatnia a megfelelően előkészített SWF állományt az áldozat gépére és rá kell vennie hogy a Flash Player segítségével megnyissa. A vállalat későbbre ígéri a probléma javítását, azonban hogy ez mikor történik meg, azt nem közölte.

a címlapról

bye-bye

5

Átalakul a Nokia menedzsmentje

2020. február 19. 13:44

Megszűnt a műszaki vezérigazgató-helyettesi pozíció, a cég próbál feljönni riválisaira.

Hirdetés

Python everywhere!

2020. február 19. 23:31

Gyere Pythonozni a HWSW rendezvényeire! Megmutatjuk, hogy a Python nem csak a fejlesztők nyelve, hiszen egyszerűsége miatt előszeretettel használják az üzemeltetők és DevOps szakemberek, tesztelők, illetve az adattudósok is, és elfut szinte bárhol, a mikrovezérlőktől egészen a böngészőkig.