Cita:
Más información en:Flash ya va por su versión 10. En esta nueva actualización, Adobe ha
potenciado sobre todo las posibilidades de explotar el sonido por parte
de los diseñadores. El problema es que con esta versión, además,
aprovecha para dejar sin resolver temporalmente varios problemas de
seguridad en su rama 9.
Además de los antivirus "rogue" (falsos antivirus que no son más que
malware) también está últimamente de moda entre los atacantes intentar
que los usuarios de Windows descarguen una supuesta nueva actualización
de Flash. Cuando acceden a un enlace donde se promete un apetitoso vídeo
de YouTube, se pide la descarga de una nueva versión de Flash que
corresponde con el malware en sí. Adobe, oficialmente, acaba de sacar su
versión 10 de Flash Player y obviamente, recomienda su descarga. Es
posible que esto confunda a usuarios que estén al tanto de la
publicación de la nueva versión legítima de Flash, resultando así la
ingeniería social más efectiva. Ante este potencial peligro, es
necesario insistir en que las actualizaciones en general deben
realizarse sólo a través de las páginas oficiales, además de comprobar
que el archivo se encuentra firmado digitalmente por la compañía
adecuada (algo que realiza Windows de forma automática por defecto).
Entre las mejoras, Flash 10 corrige la funcionalidad de versiones
anteriores que permite a una web secuestrar el portapapeles. Con la
función "setClipboard" de ActionScript (el lenguaje de programación de
Adobe Flash) se puede modificar (pero no acceder) el contenido del
portapapeles. Esto se está aprovechando actualmente para, a través de un
archivo SWF, modificar a gusto del atacante el contenido del clipboard.
Curiosamente, Flash 10 introduce una nueva función
Clipboard.generalClipboard.getData que sí permite la lectura del
portapapeles bajo ciertas circunstancias. Esto sí que podría llegar a
suponer un problema grave de seguridad si se saltan las restricciones
tenidas en cuenta por Adobe.
Adobe admitió el potencial peligro de estas funciones pero aun así no lo
ha solucionado en las versiones anteriores a la 10. Como muchas otras
compañías hacen, corregir exclusivamente en versiones avanzadas ciertos
problemas (que pueden ser incluso de seguridad) sirve como excusa para
fomentar una migración a su software más moderno. Por ejemplo, en estos
momentos existen cinco potenciales fallos de seguridad en la rama 9 de
Flash, que han sido solucionados exclusivamente en la 10. Para su
versión 9, muy usada aún, se prolonga "artificialmente" la espera de la
actualización hasta principios de noviembre.
Esta "técnica" es usada por muchas empresas. Algunas vulnerabilidades le
son "oportunas" y aprovechan para actualizar sólo en una rama superior
de su producto, forzando así una migración. Se usa la seguridad como
moneda de cambio bien para obligar (como es el caso) a la conveniente
actualización de un cliente gratuito (pero cuyo contenido se desarrolla
con programas de pago), bien para directamente vender nuevos productos.
Un caso especialmente llamativo ocurrió con Microsoft y su Windows NT. A
finales de marzo de 2003 Microsoft publicaba un boletín de seguridad
para advertir de una vulnerabilidad en el servicio RCP Endpoint Mapper
que podría ser aprovechada para provocar una denegación de servicio
contra NT 4.0, 2000 y XP. En el apartado de actualizaciones, se
informaba de que sólo estaban disponibles los parches para las versiones
de Windows 2000 y XP, aun encontrándose NT en su ciclo normal de
actualizaciones (no terminó oficialmente hasta enero de 2005). La excusa
oficial: las propias limitaciones arquitectónicas de Windows NT 4.0, que
es poco robusta en comparación con Windows 2000, y que requeriría
demasiadas modificaciones para solucionar el problema. La excusa no se
sostenía: La vulnerabilidad estaba ahí desde antes de ser descubierta...
¿y si hubiera salido a la luz unos años antes, cuando no existía Windows
2000? ¿Habrían dicho igualmente que es imposible de solucionar? Este
incidente significaría el principio del fin para un producto que incluso
hoy en día está muy arraigado en las empresas.
potenciado sobre todo las posibilidades de explotar el sonido por parte
de los diseñadores. El problema es que con esta versión, además,
aprovecha para dejar sin resolver temporalmente varios problemas de
seguridad en su rama 9.
Además de los antivirus "rogue" (falsos antivirus que no son más que
malware) también está últimamente de moda entre los atacantes intentar
que los usuarios de Windows descarguen una supuesta nueva actualización
de Flash. Cuando acceden a un enlace donde se promete un apetitoso vídeo
de YouTube, se pide la descarga de una nueva versión de Flash que
corresponde con el malware en sí. Adobe, oficialmente, acaba de sacar su
versión 10 de Flash Player y obviamente, recomienda su descarga. Es
posible que esto confunda a usuarios que estén al tanto de la
publicación de la nueva versión legítima de Flash, resultando así la
ingeniería social más efectiva. Ante este potencial peligro, es
necesario insistir en que las actualizaciones en general deben
realizarse sólo a través de las páginas oficiales, además de comprobar
que el archivo se encuentra firmado digitalmente por la compañía
adecuada (algo que realiza Windows de forma automática por defecto).
Entre las mejoras, Flash 10 corrige la funcionalidad de versiones
anteriores que permite a una web secuestrar el portapapeles. Con la
función "setClipboard" de ActionScript (el lenguaje de programación de
Adobe Flash) se puede modificar (pero no acceder) el contenido del
portapapeles. Esto se está aprovechando actualmente para, a través de un
archivo SWF, modificar a gusto del atacante el contenido del clipboard.
Curiosamente, Flash 10 introduce una nueva función
Clipboard.generalClipboard.getData que sí permite la lectura del
portapapeles bajo ciertas circunstancias. Esto sí que podría llegar a
suponer un problema grave de seguridad si se saltan las restricciones
tenidas en cuenta por Adobe.
Adobe admitió el potencial peligro de estas funciones pero aun así no lo
ha solucionado en las versiones anteriores a la 10. Como muchas otras
compañías hacen, corregir exclusivamente en versiones avanzadas ciertos
problemas (que pueden ser incluso de seguridad) sirve como excusa para
fomentar una migración a su software más moderno. Por ejemplo, en estos
momentos existen cinco potenciales fallos de seguridad en la rama 9 de
Flash, que han sido solucionados exclusivamente en la 10. Para su
versión 9, muy usada aún, se prolonga "artificialmente" la espera de la
actualización hasta principios de noviembre.
Esta "técnica" es usada por muchas empresas. Algunas vulnerabilidades le
son "oportunas" y aprovechan para actualizar sólo en una rama superior
de su producto, forzando así una migración. Se usa la seguridad como
moneda de cambio bien para obligar (como es el caso) a la conveniente
actualización de un cliente gratuito (pero cuyo contenido se desarrolla
con programas de pago), bien para directamente vender nuevos productos.
Un caso especialmente llamativo ocurrió con Microsoft y su Windows NT. A
finales de marzo de 2003 Microsoft publicaba un boletín de seguridad
para advertir de una vulnerabilidad en el servicio RCP Endpoint Mapper
que podría ser aprovechada para provocar una denegación de servicio
contra NT 4.0, 2000 y XP. En el apartado de actualizaciones, se
informaba de que sólo estaban disponibles los parches para las versiones
de Windows 2000 y XP, aun encontrándose NT en su ciclo normal de
actualizaciones (no terminó oficialmente hasta enero de 2005). La excusa
oficial: las propias limitaciones arquitectónicas de Windows NT 4.0, que
es poco robusta en comparación con Windows 2000, y que requeriría
demasiadas modificaciones para solucionar el problema. La excusa no se
sostenía: La vulnerabilidad estaba ahí desde antes de ser descubierta...
¿y si hubiera salido a la luz unos años antes, cuando no existía Windows
2000? ¿Habrían dicho igualmente que es imposible de solucionar? Este
incidente significaría el principio del fin para un producto que incluso
hoy en día está muy arraigado en las empresas.
- http://www.hispasec.com/unaaldia/3600
- http://www.adobe.com/support/securit...apsb08-18.html
- http://www.heise.de/english/newsticker/news/116338
- http://www.hispasec.com/unaaldia/1614
