Nem biztonságos az internetezés

Az Adobe Flash révén látványos (és kevésbé látványos) animációkkal, bemutatókkal, instrukciókkal tehető használhatóbbá egy weboldal. Nemrég azonban kiderült, hogy az SWF file-ok a legismertebb, létrehozásukra szakosodott alkalmazások hibája miatt komoly biztonsági rést hordozhatnak magukban. Olyan állományok jöhettek létre, melyek sebezhetőségét a támadók arra használhatják ki, hogy ellenőrzést szerezzenek például banki oldalakon, kormányzati site-okon és más, megbízhatónak tartott webhelyeken a tranzakciók felett.

Úgynevezett cross-site scripting (XSS) sebezhetőségről van szó, ami azt jelenti, hogy a támadó – sikeres próbálkozást követően – szinte bármilyen, az internetező adataira, pénzére nézve ártalmas tevékenységet kifejthet. Például pénzátutalások hajthatók végre a felhasználó számlájáról stb. Éppen ezért fontos, hogy a már létező és érintett SWF file-ok kódját a programozók módosítsák, állítják IT-biztonsági szakemberek. Az Adobe, az Autodemo, a Techsmith és az Infosoft pedig nemrég bejelentette, hogy frissítették tartalom-előállító programjaikat, így azokkal többé már nem készülhetnek sebezhető SWF file-ok.

Rich Cannings, a Google vezető információbiztonsági mérnöke fedezte fel a Flash állományok sebezhetőségét. Tanácsa szerint a legbiztosabb módja a sebezhető pontok kiiktatásának, ha az érintett file-okat teljesen eltávolítják a rendszerből, a bennük tárolt kódot pedig újra előállítják a frissített szoftverek valamelyikével, a fejlesztő tanácsainak figyelembevétele mellett. És nem csak a saját állományokkal érdemes ezt megtenni, hanem az összes, harmadik féltől származó SWF-vel is, mondta Cannings.

Arról, hogy mégis mennyi website érintett, pontos adatok nincsenek. A becslések szerint webhelyek tízezrei tartalmaznak sebezhető Flash file-okat, köztük neves pénzintézetek, kormányzati ügynökségek és ismert nagyvállalatok oldalai is nagy számban megtalálhatók.