Flash應(yīng)用普存XSS安全隱患亟待解決

Google安全研究人員Richard Cannings日前發(fā)表的一篇論文稱，包括Adobe Dreamweaver和InfoSoft FusionCharts在內(nèi)的至少五個網(wǎng)站編輯軟件制作的Flash文件都能夠被網(wǎng)絡(luò)詐騙分子用來實施跨站腳本攻擊。攻擊者創(chuàng)建一個把Javascript代碼傳送到Flash文件的鏈接，引誘受害者在可信賴的網(wǎng)絡(luò)服務(wù)器的環(huán)境中運行惡意代碼。
    雖然準確地指出哪一個網(wǎng)站在運行有安全漏洞的Flash文件是很困難的，但通過測試發(fā)現(xiàn)，大量的網(wǎng)站確實存在Flash跨站腳本攻擊漏洞XSS。
    由于這個問題不是Adobe PDF軟件漏洞中的那種通用的XSS問題，跟蹤這些問題是很困難的。我們必須要找出對Flash文件進行反編譯或者逆向工程的方法才能確定這種文件使用了哪一種網(wǎng)絡(luò)編輯工具并且更新我們的安全漏洞掃描器。這樣，安全人員就可以像網(wǎng)絡(luò)應(yīng)用程序一樣測試Flash文件。
    研究人員稱，這個問題與Adobe上個月修復(fù)的Flash文件安全漏洞不是一回事。Adobe在2007年12月修復(fù)了Flash軟件中的10個重要的安全漏洞。其中包括修復(fù)了一個利用asfunction協(xié)議管理器和navigateToURL()函數(shù)實施跨站腳本攻擊的安全漏洞。InfoSoft公司在2007年12月24日修復(fù)了該公司軟件中的跨站腳本安全漏洞，其方法是僅允許裝載相關(guān)的URL而不是裝載絕對的URL。
    安全專家Grossman強調(diào)指出，有安全漏洞的Flash動畫在網(wǎng)絡(luò)上還將存在一段時間，因為網(wǎng)頁編輯人員首先要解決他們編輯工具的問題，然后創(chuàng)建新的Flash文件和把這些文件上載到網(wǎng)站。在許多情況下，第三方開發(fā)人員負責維護網(wǎng)站。這將推遲網(wǎng)站解決這個問題的時間。