Aggiornato il: 20-02-2020 22:59
Un recente bollettino di sicurezza informatica ha evidenziato una potenziale falla in Adobe Flash, il componente aggiuntivo di numerosi browser che permette di visualizzare contenuti multimediali di vario tipo. Di default, esso consente di leggere il contenuto di file esclusivamente in locale, non in remoto: nonostante questo, è stata dimostrato apparentemente un caso di exfiltration o furto subdolo dei dati dell’utente, che possono essere trasmessi via internet aggirando il controllo.
La falla è stata notificata solo su Google Chrome, e non esiste altro riscontro su browser diversi, almeno fino ad ora. Apparentemente, infatti, qualsiasi file HTML caricato localmente non ha la possibilità di interagire con SWF in remoto, ma la cosa può essere aggirata – stando al report ed alla proof of concept– mediante un frame inserito nel file stesso, ed un link ad un file Flash remoto Il browser non permette, infatti, di evitare questo genere di situazioni nonostante possieda, di suo, una regola per mitigare attacchi informatici.
Secondo la proof of concept (i file per testare sono scaricabili dall’URL su seclists) per l’attaccante è possibile, mediante un semplice allegato in HTML, visualizzare il contenuto di qualsiasi file locale ed inviarlo ad un server remoto, per quanto a velocità piuttosto lenta (circa un carattere ogni 8 secondi).
Ho testato lo script con Chrome 45.0.2414.0 su un Mac, scaricando il file ed inserendo il path ad un file di testo da me preparato, e lo script sembrerebbe funzionare, per quanto acquisisca dati non troppo velocemente e, soprattutto, in modo non fedele all’originale. Un semplice file di testo in chiaro, infatti, veniva visualizzato in output con numerosi errori nella codifica, anche se è possibile che lo script sia concepito per fare exfiltration di file binari, ad esempio.
L’accesso ad un file locale arbitrario via script dovrebbe, a parte tutto, essere vietato dalle policy del sistema, del browser e del plugin: il rischio è che possa essere eseguito su path di sistema ben noti o standard, rubando informazioni preziose sul sistema o password dell’utente.
Non è dato sapere molto altro sull’argomento, anche perchè alcuni passaggi del comunicato non sono chiari e la Adobe non è troppo trasparente per quanto riguarda la gestione delle falle. Non è dato sapere quindi se la falla sarà corretta in futuro o se sarà messa in secondo piano, visto il problema di acquisizione che ho verificato anch’io. Il suggerimento di massima resta quello di non scaricare ed aprire file HTML ricevuti ad esempio via email, anche se provenienti da fonti apparentemente autorevoli, perchè potrebbero contenere script che sfruttano questa opportunità di attacco. (fonte: seclists)
Ingegnere informatico per passione, consulente per necessità, docente di informatica; ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti. Credits immagini: pexels.com, pixabay.com, wikipedia.org, Midjourney, StarryAI, se non diversamente specificato. Questo sito non contiene necessariamente suggerimenti, pareri o endorsement da parte del proprietario del progetto e/o espressi a titolo personale. Per contatti clicca qui
