Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
ga

Mégsem biztonságos a Flash‑sandbox

2011.01.10. 13.53
Az Androbiten már sokadjára olvashattok (1, 2, 3) a sandbox fantázianevű biztonságtechnikai megoldásról. A webes világ egyik legkritikusabb pontja ebből a szempontból az Adobe Flash Player, ami az internetre kötött számítógépek jelentős részén megtalálható és köztudottan számos biztonsági hibával küszködik. A közelmúltban az Adobe is elkezdett foglalkozni a megoldással és ők is előálltak a saját Flash Player sandbox-ukkal, amivel számos biztonsági hiányosságot kiküszöböltek. Most azonban kiderült, hogy mégsem 100%-os a védelem és a sandboxban is van egy olyan hiányosság, amivel adatszivárgás érhető el.

Billy Rios biztonsági szakértő rájött, hogy az Adobe kommunikációs protokollok feketelistázásával próbálta megoldani a problémát, viszont a listáról kimaradt a MHTML (Mime HTML), aminek segítségével adatok kérhetők le az áldozat gépéről tetszőleges szerverre, ami akár a támadó számítógépe is lehet. A támadónak nincs más dolga, mint hogy eljuttasson egy speciálisan összeállított SWF fájlt az áldozat merevlemezére, majd rávegye az SWF lefuttatására. Azt nem tudni, hogy milyen protokollokat hagytak még figyelmen kívül az Adobe-nél, valamint azt sem, hogy a módszer működhet-e weboldalba ágyazott SWF esetén is. A cég állítása szerint a hiba nem kritikus, de a javítás megjelenésének időpontját nem közölték.

Billy Rios blogbejegyzése itt olvasható.

Így kapcsolhatod be a Harry Potter varázslatot a Facebookon
Telegram: Oroszország betiltaná a titkosított csevegést
Pontosság: az Apple Watch az első helyen, a Samsung Gear az utolsó
Telefonba épített mélynyomóval készül a Samsung?
Felkapott témák
Így kapcsolhatod be a Harry Potter varázslatot a Facebookon
Biztonsági katasztrófa: Kiszivárgott a Windows 10 forráskódja
Mindent tudunk az 1000 eurós Samsung Galaxy Note 8-ról
Kinek kell az új iMac Pro 6 millió forintért?
Apple iOS 11 publikus béta – Megmutatjuk, hogyan telepítheted!
Pontosság: az Apple Watch az első helyen, a Samsung Gear az utolsó
Állásajánlatok
Törzskönyvező
Software Developer C#,.NET
Hálózat üzemeltő mérnök Székesfehérvár
Rendszermérnök Technical Coordinator LEADER
Chemical Process Engineer
Polish Speaking Service Desk Representative
Szoftvertesztelő munkatárs