A cuatro años del parche, Adobe Flash no resolvió correctamente Flex, una aplicación vulnerable. Los atacantes pueden explotar el fallo que se dice afecta alrededor del 30 por ciento de los 10 sitios más populares del mundo según Alexa.

El investigador de seguridad de LinkedIn Luca Carettoni y Mauro Gentile, un consultor de seguridad en Security Minded, presentaron sus hallazgos donde muestran que los ficheros Shockwave Flash vulnerables, recopilados por el equipo de desarrolladores de software de Flex, siguen siendo explotables en los navegadores web totalmente actualizados y en plugins de Flash.

Los investigadores publicaron detalles parciales de la vulnerabilidad junto con la información de mitigación. Planean lanzar los detalles completos del fallo y una prueba de concetpo (PoC) de explotación en un futuro próximo, una vez que estén seguros de que hay una mejor comprensión del error por parte del público en general. Carettoni y Gentile ya han informado a Adobe y a los encargados del mantenimiento de sitios web populares afectados por la vulnerabilidad.

Si se explota correctamente, el error podría permitir a un atacante robar información de los sistemas afectados a través de una misma petición de origen, falsificar e incluso realizar acciones en nombre de los usuarios que ejecutan versiones vulnerables mediante la realización de cross-site request forgery. En cualquiera de los casos, los atacantes tendrían que obligar a sus víctimas a visitar una página web maliciosa.

En otras palabras, dicen los investigadores, el hosting de archivos SWF vulnerables conducen a una "indirecta" evación de las políticas "Same Origin policy" en navegadores y plugins web totalmente actualizados.

"En pocas palabras, es posible forzar las películas Flash afectadas para realizar peticiones Same Origin y devolver las respuestas al atacante", dijo la pareja de investigadores en un blog. "Dado que las peticiones HTTP incluyen cookies y se emiten desde el dominio de la víctima, las respuestas HTTP pueden contener información privada incluyendo tokens, anti-CSRF y los datos del usuario."

Entre las medidas de mitigación potenciales se incluyen la compilación de los SDK de Flex junto con sus bibliotecas estáticas, parches con la herramienta oficial de Adobe o simplemente borrarlos si no se utilizan. Puedes encontrar un análisis Carattoni y de Gentile en sus respectivos sitios, aunque estos son reposts, por lo que ambos informes contienen el mismo contenido.