![]() | Бесплатные прокси. Количество: Прокси для пользователей форума (API). Количество: Купить доступ к прокси-листам (API). Количество: |
![]() | ![]() | ![]() |
|
![]() |
| LinkBack | Опции темы | Поиск в этой теме | Опции просмотра |
![]() | #1 (permalink) |
VPN Регистрация: 16.09.2015
Сообщений: 2,580
Member ID: 35426
![]() Репутация: 21 Сказал(а) спасибо: 0
Поблагодарили 7 раз(а) в 7 сообщениях
| ![]() ![]() В конце прошлой недели Adobe закрыла уязвимость в библиотеке Analytics AppMeasurement for Flash, добавляемой во Flash-проекты для оценки степени использования соответствующего контента. Данная брешь (CVE-2016-1036) представляет собой XSS, реализуемый через DOM-модель. Ее обнаружил исследователь Рэнди Уэстергрен-мл. (Randy Westergren Jr.), предупредивший, что этот баг можно использовать для кражи куки. В отличие от хорошо известных XSS-атак, проводимых посредством внедрения вредоносного кода в возвращаемую по HTTP(S) страницу, XSS через DOM предполагает модификацию среды обработки DOM в браузере, используемой клиентским скриптом. При этом, согласно OWASP, вредоносный код воздействует на исполнение клиентского кода, содержащегося на сайте. По словам Уэстергрена, данная уязвимость позволяет добиться выполнения JavaScript-кода в контексте атакуемого сайта. «Как правило, атакующий провоцирует пользователя перейти по специально созданной ссылке, чтобы исполнить полезную нагрузку, – комментирует исследователь. – При этом велик риск кражи куки или других злонамеренных изменений на сайте. Украв куки, атакующий сможет присвоить сессию аутентифицированного пользователя на целевом сайте, что позволит ему выполнять разные действия от имени этого пользователя». Уэстергрен уже сообщил ряду вендоров об аналогичных проблемах с коммуникациями между Flash и JavaScript; по его расчетам, все они выпустят патчи к концу текущего месяца. Adobe, со своей стороны, в бюллетене отметила, что данную XSS можно использовать во Flash лишь при включенном режиме debugTracking, который в дефолтных конфигурациях деактивирован. Согласно разработчику, уязвимости подвержены Analytics AppMeasurement for Flash версий 4.0 и ниже. Обновленная библиотека (4.0.1) уже доступна через Analytics Console. |
![]() | ![]() |
![]() |
Опции темы | Поиск в этой теме |
Опции просмотра | |
| |
![]() | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
VMware патчит опасный баг, связанный с обработкой сессий | Proxy-Base-News | Новости IT | 0 | 20.04.2016 11:30 |
В Angler добавлен эксплоит для опасной уязвимости в Adobe Flash | Proxy-Base-News | Новости IT | 0 | 30.01.2016 10:20 |
Adobe исправила 17 уязвимостей в Flash Player | Proxy-Base-News | Новости IT | 0 | 11.11.2015 21:50 |
Обнаружен 0day-эксплоит для обновленного Adobe Flash | Proxy-Base-News | Новости IT | 0 | 15.10.2015 12:10 |
Adobe: Acrobat и Flash уязвимы перед хакерами | NTR | Новости IT | 0 | 07.06.2010 23:30 |