Szerző: Bodnár Ádám

2011. január 10. 11:08

Mégsem olyan biztonságos a Flash sandbox

Egy biztonsági szakértő rájött, milyen módszerrel lehet megkerülni az Adobe Flash Playerbe épített "sandbox" biztonsági mechanizmust, amely elméletileg izolálja a Flash tartalmat, gyakorlatilag azonban nem.

Billy Rios biztonsági szakértő blogbejegyzésében hozta nyilvánosságra, hogy sikerült megkerülnie a Flash Player sandbox védelmét. Az Adobe azt állítja, a helyi lemezről megnyitott SWF állományok hozzáférnek ugyan a lemez tartalmához, azonban semmilyen adatot nem tudnak a hálózaton megosztani, így nem lehet segítségükkel adatokat eltulajdonítani. A Rios által publikált információk alapján azonban a védelem foghíjasra sikerült.

Toxikus vezetők szivárványa

Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Toxikus vezetők szivárványa Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Rios kutakodással kiderítette, hogy az Adobe egyes kommunikációs protokollok feketelistázásával próbálta meg "izolálni" a sandboxot, kevés sikerrel. A biztonsági szakértő rájött, hogy például a MIME HTML (MHTML) segítségével egy HTTP vagy HTTPS lekérésben helyi adatok adhatók át egy másik szervernek, amely lehet akár egy támadó gépe is. Lehet, hogy az MHTML mellett más kommunikációs protokollok is elkerülték a tiltólistát. Egy támadónak így nincs más dolga, mint hogy rávegye az áldozatát egy SWF fájl letöltésére és elindítására, az állomány pedig a sandbox hibája miatt képes lesz adatokat átadni.

Az Adobe szerint nincs szó súlyos hibáról, mivel a támadónak először el kell juttatnia a megfelelően előkészített SWF állományt az áldozat gépére és rá kell vennie hogy a Flash Player segítségével megnyissa. A vállalat későbbre ígéri a probléma javítását, azonban hogy ez mikor történik meg, azt nem közölte.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról