Aggiornato il: 20-02-2020 22:59
A pochi giorni dall’annuncio di un’ennesima falla critica su Adobe Flash, è stato rivelato un nuovo problema di sicurezza web relativo alla libreria SWFUpload: nella versione 2.5.0 esiste un problema che permette un attacco remoto via XSS (iniezione remota di codice arbitrario) nonchè una potenziale scalata di privilegi sul sistema. La proof of concept è stata descritta su seclists, comporta un rischio di media entità per l’utente che sfrutta questa libreria e può essere patchata mediante intervento diretto sul codice, in modo da regolarizzare il parse della variabile buttonTextStyle.
Leggi anche: Perchè filtrare i form di input nei siti?
La vulnerabilità è stata classificata come un caso di Cross Frame Scripting (XFS): attualmente su sourceforge non è presente la patch, per cui è necessario – per arginare il problema – usare questa libreria con la massima cautela: o intervenendo come descritto, oppure sostituendola con una equivalente lato server. Si suggerisce inoltre di aggiornare Flash all’ultima versione esistente per evitare problemi sul proprio browser lato client.
Ingegnere informatico per passione, consulente per necessità, docente di informatica; ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti. Credits immagini: pexels.com, pixabay.com, wikipedia.org, Midjourney, StarryAI, se non diversamente specificato. Questo sito non contiene necessariamente suggerimenti, pareri o endorsement da parte del proprietario del progetto e/o espressi a titolo personale. Per contatti clicca qui
