Proxy-Base-News

В конце прошлой недели Adobe закрыла уязвимость в библиотеке Analytics AppMeasurement for Flash, добавляемой во Flash-проекты для оценки степени использования соответствующего контента. Данная брешь (CVE-2016-1036) представляет собой XSS, реализуемый через DOM-модель. Ее обнаружил исследователь Рэнди Уэстергрен-мл. (Randy Westergren Jr.), предупредивший, что этот баг можно использовать для кражи куки.

В отличие от хорошо известных XSS-атак, проводимых посредством внедрения вредоносного кода в возвращаемую по HTTP(S) страницу, XSS через DOM предполагает модификацию среды обработки DOM в браузере, используемой клиентским скриптом. При этом, согласно OWASP, вредоносный код воздействует на исполнение клиентского кода, содержащегося на сайте.

По словам Уэстергрена, данная уязвимость позволяет добиться выполнения JavaScript-кода в контексте атакуемого сайта. «Как правило, атакующий провоцирует пользователя перейти по специально созданной ссылке, чтобы исполнить полезную нагрузку, – комментирует исследователь. – При этом велик риск кражи куки или других злонамеренных изменений на сайте. Украв куки, атакующий сможет присвоить сессию аутентифицированного пользователя на целевом сайте, что позволит ему выполнять разные действия от имени этого пользователя».

Уэстергрен уже сообщил ряду вендоров об аналогичных проблемах с коммуникациями между Flash и JavaScript; по его расчетам, все они выпустят патчи к концу текущего месяца. Adobe, со своей стороны, в бюллетене отметила, что данную XSS можно использовать во Flash лишь при включенном режиме debugTracking, который в дефолтных конфигурациях деактивирован. Согласно разработчику, уязвимости подвержены Analytics AppMeasurement for Flash версий 4.0 и ниже. Обновленная библиотека (4.0.1) уже доступна через Analytics Console.