Una nueva vulnerabilidad descubierta en el popular softwere de Flash podria permitir que los hackers atacaran cualquier sitio web a traves de Flashplayer. Los investigadores de seguridad han descubierto una peligrosa manera de atacar a los navegadores que manejan objetos de Flashplayers de Adobe. Mike Bailey, investigador senior en la firma, ha revelado que la vulnerabilidad puede ser usada para atacar al 99 por ciento de los usuarios de Internet que utilizan Flash, o a cualquier sitio que permita a los usuarios crear contenidos que se publican directamente en línea e incluso sirve también para atacar un domino. “Los Objetos Flash no son páginas web. Un objeto de Flash no tiene por qué ser inyectado en una página web para ejecutar algún código –simplemente con cargar el contenido es suficiente", escribió Bailey en su blog.
"Vamos a considerar las implicaciones de esta política por un momento. Si puedo hacerme con el control de un objeto Flash en su servidor, puedo ejecutar secuencias de comandos en el contexto de su dominio".
Mike Baley también os recuerda la forma en que muchos sitios web permiten a los usuarios subir archivos de algún tipo, y cómo muchos de esos sitios sirven de nuevo a los usuarios. "Casi cada uno de ellos es vulnerable", agregó, citando como ejemplo mas peligroso el servicio de correo de Google Gmail, entre otros.
Según Bailey, esta serie de tipos de archivo puede ser utilizado para inyectar código malicioso en un dominio web, incluyendo imágenes en formato GIF y archivos SWF.
"Por desgracia Gmail nos ofrece accesorios de mail.google.com, el mismo dominio que se utiliza para acceder a la funcionalidad de correo web. Ya podéis ver a dónde conduce esto", continuó, y añadió que la técnica podría ser usada para enviar una carga útil a una cuenta de usuario, y durante el análisis de los mensajes enviados podría ejecutarse a sí mismo de la bandeja de entrada.
La solución para este tipo de peligroso ataque es tan extrema como arriesgada, y no carece de problemas: "La única manera de estar seguro es desactivar por completo Flashplayers. Pero como es lógico si se toma esta medida tan restrictiva, se pierde la posibilidad de poder ver videos y cualquier widget en Internet", dijo Hill. "Así que probablemente es peor el remedio quela enfermedad".
Por consiguiente los administradores y Operadores de sitios Web deben cambiar los contenidos del servidor y mantenerlos separados de los dominios de forma independiente, algo que Hill dijo que ha sido ya corregido por empresas como Yahoo, Hotmail y Wikipedia.
Hill no ve una solución de Adobe flashplayers acorto plazo. Mientras tanto la propia empresa todavía no ha respondido a las llamadas para que nos de mas información o haga algún comentario al respecto.