Flash應(yīng)用普存XSS安全隱患亟待解決

Google安全研究人員Richard Cannings日前發(fā)表的一篇論文稱，包括Adobe Dreamweaver和InfoSoft FusionCharts在內(nèi)的至少五個(gè)網(wǎng)站編輯軟件制作的Flash文件都能夠被網(wǎng)絡(luò)詐騙分子用來(lái)實(shí)施跨站腳本攻擊。攻擊者創(chuàng)建一個(gè)把Javascript代碼傳送到Flash文件的鏈接，引誘受害者在可信賴的網(wǎng)絡(luò)服務(wù)器的環(huán)境中運(yùn)行惡意代碼。
    雖然準(zhǔn)確地指出哪一個(gè)網(wǎng)站在運(yùn)行有安全漏洞的Flash文件是很困難的，但通過(guò)測(cè)試發(fā)現(xiàn)，大量的網(wǎng)站確實(shí)存在Flash跨站腳本攻擊漏洞XSS。
    由于這個(gè)問(wèn)題不是Adobe PDF軟件漏洞中的那種通用的XSS問(wèn)題，跟蹤這些問(wèn)題是很困難的。我們必須要找出對(duì)Flash文件進(jìn)行反編譯或者逆向工程的方法才能確定這種文件使用了哪一種網(wǎng)絡(luò)編輯工具并且更新我們的安全漏洞掃描器。這樣，安全人員就可以像網(wǎng)絡(luò)應(yīng)用程序一樣測(cè)試Flash文件。
    研究人員稱，這個(gè)問(wèn)題與Adobe上個(gè)月修復(fù)的Flash文件安全漏洞不是一回事。Adobe在2007年12月修復(fù)了Flash軟件中的10個(gè)重要的安全漏洞。其中包括修復(fù)了一個(gè)利用asfunction協(xié)議管理器和navigateToURL()函數(shù)實(shí)施跨站腳本攻擊的安全漏洞。InfoSoft公司在2007年12月24日修復(fù)了該公司軟件中的跨站腳本安全漏洞，其方法是僅允許裝載相關(guān)的URL而不是裝載絕對(duì)的URL。
    安全專(zhuān)家Grossman強(qiáng)調(diào)指出，有安全漏洞的Flash動(dòng)畫(huà)在網(wǎng)絡(luò)上還將存在一段時(shí)間，因?yàn)榫W(wǎng)頁(yè)編輯人員首先要解決他們編輯工具的問(wèn)題，然后創(chuàng)建新的Flash文件和把這些文件上載到網(wǎng)站。在許多情況下，第三方開(kāi)發(fā)人員負(fù)責(zé)維護(hù)網(wǎng)站。這將推遲網(wǎng)站解決這個(gè)問(wèn)題的時(shí)間。