آسیب‌پذیری اصلاح شده Adobe Flex همچنان خطرساز است

۱کمیته رکن چهارم – آسیب‌پذیری CVE-2011-2461 که چهار سال پیش اصلاح شده بود، همچنان تهدیدی برای وب‌سایت‌هایی است که میزبان فیلم‌های فلش آسیب‌پذیر هستند.

به گزارش کمیته رکن چهارم،محققان کشف کرده‌اند که یک آسیب‌پذیری در کامپایلر Adobe Fles SDK وجود دارد که علی رغم اصلاح شدن در سال ۲۰۱۱، همچنان وب‌سایت‌ها را در برابر حملات آسیب‌پذیر می‌سازد.
یک محقق امنیتی به نام مارو جنتایل وجود این مشکل امنیتی را چهار سال پس از اصلاح این مسأله توسط ادوبی، اثبات کرده است. CVE-2011-2461 که Adobe Flex SDK 3.x و ۴٫x را تحت تأثیر قرار می‌دهد، به مهاجمان راه دور اجازه می‌دهد که اسکریپت یا HTML را از طریق بردارها در زمان بارگذاری ماژول تزریق نمایند. این آسیب‌پذیری که توسط ادوبی در رده امنیتی متوسط قرار گرفته است، بدین معناست که درصورتی‌که برنامه‌های آسیب‌پذیر Flex مجدداً کامپایل نشده یا اصلاح نشوند، همچنان قابل سوء استفاده هستند.
تا زمانی که فایل SWF با استفاده از یک کامپایلر Flex SDK آسیب‌پذیر کامپایل گردند، هکرها همچنان قادرند از این آسیب‌پذیری علیه مرورگرهای به‌روز و جدید و پلاگین‌های فلش استفاده کنند.
این نقص امنیتی به مهاجمان سایبری اجازه می‌دهد داده‌ها را از طریق Same-Origin Request Forgery سرقت نمایند یا فعالیت‌هایی را از طریق Cross-Site Request Forgery و با درخواست از کاربر برای مشاهده یک صفحه خرابکار، به جای وی انجام دهند. یک فیلم فلش آسیب‌پذیر می‌تواند ملزم به انجام این درخواست‌ها گردد و پاسخ‌ها را به مهاجم بازگرداند. در نسخه‌های قدیمی‌تر Adobe Flex، فایل‌های SWF کامپایل شده به شکل مناسب محدوده‌های امنیتی ماژول‌های منبع را اعتبارسنجی نمی‌کنند که منجر به این سوء استفاده‌ها و مشکلات XSS می‌گردد.
به گفته این محقق امنیتی، از آنجایی‌که درخواست‌های HTTP شامل کوکی‌ها هستند و از دامنه قربانی صادر می‌گردند، پاسخ‌های HTTP ممکن است شامل اطلاعات محرمانه از جمله توکن‌های anti-CSRF و داده‌های کاربر باشند.
جنتایل و همکارانش یک تحلیل مقیاس بزرگ از این مشکل امنیتی انجام داده‌اند. وی می‌گوید که تعداد بسیار زیادی از وب‌سایت‌ها از جمله سه وب‌سایت در ۱۰۰ وب‌سایت برتر الکسا، در برابر آسیب‌پذیری CVE-2011-2461 آسیب‌پذیر هستن

منبع : مرکز ماهر

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.