Flash inciampa ancora sulla sicurezza

Un utente di Flash 5 ha scoperto una falla che potrebbe trasformare i file SWF in cavalli di Troia. Macromedia è già corsa ai ripari
Un utente di Flash 5 ha scoperto una falla che potrebbe trasformare i file SWF in cavalli di Troia. Macromedia è già corsa ai ripari


Web – A poco più di un mese di distanza dalla scoperta del primo virus per Flash, il noto player di Macromedia deve ora fare i conti con una nuova vulnerabilità di sicurezza.

Un utente di Flash 5 che si fa chiamare “Vengy” ha infatti pubblicato un documento dove descrive una funzionalità del player stand-alone che permetterebbe di creare dei filmati in Flash contenenti, al loro interno, script malevoli che un utente può rischiare di salvare sul proprio computer.

Secondo Vengy, Flash 5 supporta un comando ActionScript non documentato, “fscommand:save”, che consente agli sviluppatori Flash di salvare in un file alcune informazioni cronologiche riguardanti un filmato.

Vengy ha dimostrato come sia possibile utilizzare questo comando per creare sul computer dell’utente un programma batch in grado di auto-eseguirsi al riavvio del sistema. Questo funziona esclusivamente con il player stand-alone che Macromedia distribuisce con il suo tool di authoring Flash e dunque, per fortuna, non riguarda i milioni di utenti che hanno installato il plug-in od il controllo ActiveX.

Macromedia ha sollecitamente trovato una soluzione al problema rilasciando una nuova versione del player Flash che non contiene più il comando incriminato. Una mossa simile a quella che lo scorso mese portò l’azienda ad eliminare un altro comando potenzialmente pericoloso, “exec”, sfruttato dal virus SWF/LFM-926.

“Ogni volta che una nuova minaccia viene scoperta – ha commentato sul proprio sito Vengy – rimuovere semplicemente la funzionalità esistente causerà solo il deterioramento del prodotto lungo il tempo (ad esempio, vi prego di ripristinare fscommand “exec”). Qualche volta la “cura” è peggiore del “male””.

Nonostante entrambe le falle di sicurezza di Flash interessino un numero limitato di utenti – in genere, infatti, solo gli sviluppatori utilizzano la versione stand-alone del player – alcuni esperti di sicurezza hanno consigliato agli operatori del Web di tenere alta la guardia e verificare sempre la sicurezza e l’autenticità di ogni file SWF ospitato sui loro siti.

La nuova versione del player Flash è disponibile qui .

Link copiato negli appunti

Ti potrebbe interessare

27 02 2002
Link copiato negli appunti