• Tweet

Un riesgo de seguridad en Adobe Flash crea un posible mecanismo para que los hackers sean capaces de cargar "exploits" en sitios web.

La vulnerabilidad fue descubierta por investigadores en seguridad de "Foreground Security" (importante empresa dedicada a servicios en seguridad informática), quienes la reportaron tanto a Adobe como a Google, ya que ‘Google Applications’, incluyendo Gmail, son potencialmente vulnerables.

No existe ningún parche disponible. Sin embargo, la explotación estaría lejos de ser sencilla, especialmente en Gmail, ya que los hackers tendrían que saber los "Message-ID" para hacer algún daño. Foreground no ha detectado ningún ataque usando esta técnica, que afecta sitios que permiten a los usuarios subir contenido activo a dominios de confianza.

Simulaciones de pruebas de concepto en la vulnerabilidad, hechas por Foreground, descubrieron que en Adobe Flash se podría ejecutar una "Booby-trap" (son trampas que se disparan cuando un usuario ejecuta una acción, aparentemente ordinaria, tales como abrir el adjunto de un mail) dirigida a sitios web con ‘drive-by download’ (este expresión es usada para referirse a descarga de spyware, virus o cualquier clsase de malware, sin que de ello se dé cuenta el usuario).

La amenaza no sólo se limita a Adobe Flash, sino que podría involucrar otras formas de contenido activo, incluyendo JavaScript. La principal causa del problema, podría ser debido a las inseguras prácticas de diseño web que están profundamente arraigadas en la Internet.

Brad Arkin, Director de Adobe para la seguridad y privacidad del producto, explicó que el simple hecho de parchar Flash no resolverá el problema. "Nosotros vemos esto como un problema genérico que afecta cualquier sitio que permita "active scripting", no sólo de Flash, sino JavaScript o Silverlights" dijo Arkin a Computerworld, quien también mencionó: "Los sitios no deberían permitir a los usuarios subir contenido activo a los dominios de confianza".

Mike Bailey, investigador Senior quien fuera el primero en documentar la vulnerabilidad, estuvo de acuerdo con ese punto, mientras que agregó que Adobe también juega un papel en la solución del problema.

"Para los dueños de los sitios web, todo lo que sea provisto por los usuarios debe estar completamente separado en otro dominio", dijo Bailey. "Esto ya está implantado por Yahoo mail, Hotmail, Wikipedia y otros sitios importantes; pero una gran variedad de aplicaciones web de auto-contenido no lo hacen", mencionó.

"La solución ideal debería involucrar la implementación de una política más sensible para los objetos Flash", agregó Bailey. Sin embargo, el inconveniente de hacer a Flash más seguro en este aspecto es que podría romper la funcionalidad de muchos sitios.

Los usuarios son aconsejados para mitigar los posibles riesgos de ataque deshabilitando Flash en sus navegadores o usando plug-ins, tales como NoScript para Firefox o ToggleFlash para IE, para reducir la vulnerabilidad siempre que sea posible.

Por John Leyden

Traducida por Salvador García