Szerző: Bodnár Ádám

2011. január 10. 11:08

Mégsem olyan biztonságos a Flash sandbox

Egy biztonsági szakértő rájött, milyen módszerrel lehet megkerülni az Adobe Flash Playerbe épített "sandbox" biztonsági mechanizmust, amely elméletileg izolálja a Flash tartalmat, gyakorlatilag azonban nem.

Billy Rios biztonsági szakértő blogbejegyzésében hozta nyilvánosságra, hogy sikerült megkerülnie a Flash Player sandbox védelmét. Az Adobe azt állítja, a helyi lemezről megnyitott SWF állományok hozzáférnek ugyan a lemez tartalmához, azonban semmilyen adatot nem tudnak a hálózaton megosztani, így nem lehet segítségükkel adatokat eltulajdonítani. A Rios által publikált információk alapján azonban a védelem foghíjasra sikerült.

Promptolsz-e már padawan?

Januári, juniorokkal foglalkozó adásunk a téma felsőoktatási aspektusait nem érintette. Ezen most változtatunk.

Promptolsz-e már padawan? Januári, juniorokkal foglalkozó adásunk a téma felsőoktatási aspektusait nem érintette. Ezen most változtatunk.

Rios kutakodással kiderítette, hogy az Adobe egyes kommunikációs protokollok feketelistázásával próbálta meg "izolálni" a sandboxot, kevés sikerrel. A biztonsági szakértő rájött, hogy például a MIME HTML (MHTML) segítségével egy HTTP vagy HTTPS lekérésben helyi adatok adhatók át egy másik szervernek, amely lehet akár egy támadó gépe is. Lehet, hogy az MHTML mellett más kommunikációs protokollok is elkerülték a tiltólistát. Egy támadónak így nincs más dolga, mint hogy rávegye az áldozatát egy SWF fájl letöltésére és elindítására, az állomány pedig a sandbox hibája miatt képes lesz adatokat átadni.

Az Adobe szerint nincs szó súlyos hibáról, mivel a támadónak először el kell juttatnia a megfelelően előkészített SWF állományt az áldozat gépére és rá kell vennie hogy a Flash Player segítségével megnyissa. A vállalat későbbre ígéri a probléma javítását, azonban hogy ez mikor történik meg, azt nem közölte.

A sorozat május 28-i, harmadik állomásán az AWS-ben biztonsági megoldásait vesszük nagyító alá. Átnézzük a teljes AWS security portfóliót a konténerbiztonságtól a gépi tanulásos alkalmazások védelmén át, egészen az incidenskezelésig.

a címlapról

MÁLNÁS

7

Tőzsdére megy a Raspberry Pi

2024. május 16. 14:00

Az elmúlt évek meghatározó áramköri lapkáit készítő technológiai cég papírjaival is lehet majd kereskedni a brit tőzsdén.