Una falla Adobe permette ai file SWF di leggere file in locale e trasmetterli?

Aggiornato il: 20-02-2020 22:59
Un recente bollettino di sicurezza informatica ha evidenziato una potenziale falla in Adobe Flash, il componente aggiuntivo di numerosi browser che permette di visualizzare contenuti multimediali di vario tipo. Di default, esso consente di leggere il contenuto di file esclusivamente in locale, non in remoto: nonostante questo, è stata dimostrato apparentemente un caso di exfiltration o furto subdolo dei dati dell’utente, che possono essere trasmessi via internet aggirando il controllo.

La falla è stata notificata solo su Google Chrome, e non esiste altro riscontro su browser diversi, almeno fino ad ora. Apparentemente, infatti, qualsiasi file HTML caricato localmente non ha la possibilità  di interagire con SWF in remoto, ma la cosa può essere aggirata – stando al report ed alla proof of concept– mediante un frame inserito nel file stesso, ed un link ad un file Flash remoto Il browser non permette, infatti, di evitare questo genere di situazioni nonostante possieda, di suo, una regola per mitigare attacchi informatici.

Secondo la proof of concept (i file per testare sono scaricabili dall’URL su seclists) per l’attaccante è possibile, mediante un semplice allegato in HTML, visualizzare il contenuto di qualsiasi file locale ed inviarlo ad un server remoto, per quanto a velocità  piuttosto lenta (circa un carattere ogni 8 secondi).

Ho testato lo script con Chrome 45.0.2414.0 su un Mac, scaricando il file ed inserendo il path ad un file di testo da me preparato, e lo script sembrerebbe funzionare, per quanto acquisisca dati non troppo velocemente e, soprattutto, in modo non fedele all’originale. Un semplice file di testo in chiaro, infatti, veniva visualizzato in output con numerosi errori nella codifica, anche se è possibile che lo script sia concepito per fare exfiltration di file binari, ad esempio.

Ti potrebbe interessare:  FTX dovrebbe ricordarci la differenza tra exchange e wallet di criptovalute

L’accesso ad un file locale arbitrario via script dovrebbe, a parte tutto, essere vietato dalle policy del sistema, del browser e del plugin: il rischio è che possa essere eseguito su path di sistema ben noti o standard, rubando informazioni preziose sul sistema o password dell’utente.

Non è dato sapere molto altro sull’argomento, anche perchè alcuni passaggi del comunicato non sono chiari e la Adobe non è troppo trasparente per quanto riguarda la gestione delle falle. Non è dato sapere quindi se la falla sarà  corretta in futuro o se sarà  messa in secondo piano, visto il problema di acquisizione che ho verificato anch’io. Il suggerimento di massima resta quello di non scaricare ed aprire file HTML ricevuti ad esempio via email, anche se provenienti da fonti apparentemente autorevoli, perchè potrebbero contenere script che sfruttano questa opportunità  di attacco. (fonte: seclists)



Questo blog pubblica contenuti ed offre servizi free da 11 anni. – Leggi un altro articolo a caso – Per informazioni contattaci
Non ha ancora votato nessuno.

Ti sembra utile o interessante? Vota e fammelo sapere.

Una falla Adobe permette ai file SWF di leggere file in locale e trasmetterli?
4af493998011709d 640 spy
Torna su