Hlavní navigace

Chyba v Adobe Flash umožnila získat citlivé údaje uživatelů eBay či Twitteru

Martin Vyleťal 9. 7. 2014

Adobe již vydalo záplatu, která nově objevenému způsobu, jak získat autentizační údaje uživatelů, zabrání.

Způsob, který umožňuje útočníkovi získat přístup ke cookies, včetně těch, které obsahují autentizační údaje uživatele, objevil bezpečnostní analytik společnosti Google Michele Spagnuolo, který pracuje pro firmu ve švýcarském Curychu. 

Nástroj pojmenovaný Rosetta Flash umožňuje vytvářet škodlivé .SWF soubory. Útočníci nejprve navedou uživatele k návštěvě webové stránky obsahující škodlivý soubor vytvořený prostřednictvím nástroje Rosetta Flash. Ten následně umožní získat přístup k autentizačním cookies uloženým v prohlížeči.

Tip: Princip fungování Rosetta Flash popsal Spagnualo zde (PDF, 1,9 MB)

Nejdříve na objevené riziko zareagovala pochopitelně společnost Google. Zabezpečila všechny svoje služby včetně YouTube. Dříve než Spagnuolo na svém blogu zveřejnil o nástroji Rosetta Flash podrobné informace, kontaktoval i další velké provozovatele internetových služeb, které mohly být v ohrožení, včetně  eBay, Tumblru, Twitteru či Instagramu. Avízo zamířilo také ke tvůrci Flashe, firmě Adobe.

Ta už vydala pro Flash player záplatu, která zranitelnost řeší. 

These updates include additional validation checks to ensure that Flash Player rejects malicious content from vulnerable JSONP callback APIs (CVE-2014–4671).

Pokud používáte prohlížeč Chrome nebo Internet Explorer verze 10 a 11, potenciální bezpečnostní riziko za vás vyřeší automatická aktualizace. Uživatelům ostatních prohlížečů se doporučuje, aby co nejdříve aktualizovali Flash.

Zdroj: Blog Michela SpagnuolaArsTechnica

Našli jste v článku chybu?

11. 7. 2014 17:42

Honza (neregistrovaný)

Java a JavaScript jsou docela odlišné věci...

10. 7. 2014 15:32

Zen (neregistrovaný)

Je videt, ze nedelate admina OS.
DRAC, iLO a podobna neradstva jsou takrka zasadne v jaaaaave :-(


120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: Nejenom EET, začaly platit další zákony

Nejenom EET, začaly platit další zákony

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Podnikatel.cz: Berňák kvůli EET prodlužuje otevírací dobu

Berňák kvůli EET prodlužuje otevírací dobu

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií