Shockwave Flash: új biztonsági hiba

Az eEye Digital Security által pénteken felfedezett biztonsági rés révén egy támadó akár az egész rendszert a hatalmába kerítheti, hiszen egy általa választott kódsort futtathat a sebezhető számítógépen.

Igaz, ez csak azokra a file-okra érvényes, amelyek egy bináris szerkesztővel módosítva lettek, maga a Flash alkalmazás nem hoz létre ilyen állományokat – közölték a Macromedia szóvivői. Mégis komolyan kell azonban venni, hiszen a tűzfalak által biztosnak vélt böngészőkön keresztül zajló adatkommunikáció révén lehet beszerezni egy ilyen, módosított Flash állományt. A most felfedezett hiba a Shockwave Flash összes verziójában kihasználható, legyen az használva akár Internet Explorerben, akár Netscape Navigatorban.

Az adatfejléc problémája során lehet kihasználni a biztonsági hiányosságot – ez ugyanis megengedi, hogy egy támadó több adatot juttasson a file-dekóderhez, mint amennyi eredetileg továbbításra kerülnek, s ez elvezethet egy tetszőleges kód lefuttatásához.

Szerencsére a Macromedia már megjelentetett egy Flash-lejátszót weboldalán, mely kifejezetten ezen hiba orvoslására született. Ez a kapcsolódó linkek egyikére kattintva le is tölthető.