Sunday 14 March 2010
Article  Cloud security assessment scheme launched

Sunday 14 March 2010
In Brief  Human element undermines encryption

Thursday 11 March 2010
Article  Digital privacy framework steps closer?

Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Written by Aurélien Cabezon (SecurityVibes)
Published on Friday 28 December 2007
0 comment(s) | Subnetwork France

Dans un article plutôt alarmiste, le quotidien britannique The Register se fait l'écho des découvertes d'un membre de la Google Security Team et d'un spécialiste des tests d'intrusion travaillant pour la firme iSEC Partners. Tous deux viennent de publier un livre qui pourrait tomber entre de mauvaises mains et dans lequel ils décrivent des vulnérabilités Flash SWF ( ShockWave Flash ). Sont ainsi concernés tout un ensemble d'animations Flash et autres lecteurs audio, vidéo, très prisés sur le Web.

Selon ces chercheurs, certaines applications utilisées pour créer du contenu SWF sont actuellement disponibles avec des fichiers SWF pré-générés qui contiennent des vulnérabilités XSS ( Cross site scripting ), rendant ainsi possible l'injection de chaînes de caractères malicieuses dans du code légitime. Parmi ces applications, Adobe Dreamweaver CS3 et Adobe Acrobat Connect.

Les vulnérabilités XSS sont exploitées quand des attaquants leurrent les utilisateurs en les incitant à cliquer sur des liens malicieux véhiculés par mail ou présents sur une page Web. Si un internaute est connecté à un compte sur un site Web et qu'il clique sur un lien SWF malicieux, l'attaquant peut alors avoir accès à sa session. Pour le moins inquiétant lorsque ces sites sont des sites bancaires, les chercheurs ayant par ailleurs indiqué que plus de 500 000 applets s'appuyant sur la technologie Flash et présents sur des sites gouvernementaux ou de média sont vulnérables.

De son côté, Adobe a confirmé ces dires et annonce une mise à jour de Flash Player pour début 2008 tout en recommandant pour les utilisateurs finaux l'installation de la dernière version 9.0.115.0, qui offre une solution pour un problème de sécurité également exposé dans le livre. La priorité de l'éditeur américain reste néanmoins une mise à jour pour les fichiers pré-générés vulnérables dans ses logiciels de création, prévue pour janvier 2008.