El plugin de Flash permite la lectura de archivos locales


Se ha reportado la existencia de un bug en todas las versiones de Macromedia Flash Player que permite a un webmaster malicioso la lectura de archivos locales.





El reproductor de Flash de Macromedia es uno de los plugins para los navegadores más populares. Según Macromedia más de un 90% de los usuarios web son capaces de visualizar contenido Flash. Macromedia
Flash Player está disponible para los principales navegadores bajo Windows, Mac OS, y Linux así como en otros dispositivos como Pocket PC y Nokia Communicator.

Un atacante que consiga explotar con éxito esta vulnerabildiad podría acceder al contenido de cualquier archivos del disco duro del usuario, lo que incluye bases de datos, archivos de contraseñas, etc.

El problema se puede reproducir de tres formas diferentes.

* Mediante una redirección http a un archivo local.
* Con una etiqueta es el documento y emplear una url relativa
* Incrustar el objeto flash en un archivo web (archivo mht) y hacer que parezca como si hubiera sido grabado desde el disco duro del usuario, y usar entonces una url relativa.

Demostraciones de este problema se encuentran disponibles en:
http://kuperus.xs4all.nl/flash.htm
http://www.xs4all.nl/~jkuperus/flash.htm
http://www.xs4all.nl/~jkuperus/flash.mht
Todas ellas leen y muestran el contenido del archivo c:jelmer.txt

Este problema se encuentra resuelto en la última actualización del reproductor de Flash (versión 6,0,47,0). Disponible en:
http://www.macromedia.com/go/getflashplayer/

Fuente:Hispasec


Otras noticias de interés:

Piden investigar a Dropbox por mentir en su cláusula de seguridad
Dropbox se ha visto obligada a rectificar sus cláusulas de seguridad, al demostrarse que no protege adecuadamente los ficheros de los usuarios, o al menos, no como anunciaba inicialmente la empresa en su web....
5 razones para tu privacidad en Internet
¿Le darías tu número de teléfono a un desconocido? ¿Le enseñarías tus fotos de las vacaciones a tu jefe? En la vida diaria tenemos muy claro dónde están los límites y lo que vale nuestra privacidad. La protegemos por una cuestión de intimi...
Microsoft bloqueará los certificados de menos de 1024 bits
Microsoft actualiza sus políticas de seguridad PKI y bloqueará cualquier certificado que utilice claves RSA de cifrado menores a 1024 bits. Una vez más, se cura en salud frente al revés sufrido por TheFlame. Explicaremos qué significa exactament...
China bloquea el acceso tambien al buscador Altavista
Después del bloqueo a Google, el Gobierno chino bloqueó el acceso al motor de búsqueda Altavista.com, según informaron usuarios de la Red....
Vulnerabilidad en Acrobat Reader 5.1
Una vulnerabilidad en Acrobat Reader V.5.1 podría permitir un desbordamiento de buffer y la posterior ejecución de código. Recientemente se ha descubierto una vulnerabilidad en Adobe Acrobat Reader, el popular visualizador de documentos pdf...
DDoS aprovechando servidores Google+
El grupo llamado IHTeam ha desvelado una forma de utilizar la infraestructura de servidores de Google para realizar ataques de denegación de servicio distribuido sin necesidad de poseer un gran ancho de banda. ...
Los usuarios de Firefox son los más seguros de la Web
Según un estudio encargado por el Instituto Federal de Tecnología de Suiza, en colaboración con Google e IBM, los usuarios del navegador Firefox se preocupan más por actualizar su software que los usuarios de otros navegadores....
¿Que hace el MCT, además del ridículo?
Es impresionante y realmente entristece que en los eventos de Software Libre, que es parte de la estrategia del Gobierno Nacional de Venezuela según reza el Decreto Bolivariano 3390, no exista participación alguna del Minist...
Jolicloud el sistema operativo para internet.
Jolicloud está basada en Ubuntu y pretende ser aún más fácil de instalar y configurar. Es compatible con 98% de las netbook, por defecto, sin necesidad de configuración extra alguna, para lo que cuenta con amplio soporte para redes WiFi y 3G....
Por qué los finlandeses educan mejor
Los datos que arrojan los estudios comparativos internacionales en torno a la educación (PISA, Eurydice) colocan a los alumnos finlandeses entre los más preparados del mundo....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • archivos
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • flash
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • lectura
  • libre
  • licencias
  • linux
  • linuxmint
  • locales
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • permite
  • pgp
  • php
  • plugin
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra