jueves, 16 de octubre de 2008

Adobe Flash 10 y las vulnerabilidades "oportunas"

Flash ya va por su versión 10. En esta nueva actualización, Adobe ha potenciado sobre todo las posibilidades de explotar el sonido por parte de los diseñadores. El problema es que con esta versión, además, aprovecha para dejar sin resolver temporalmente varios problemas de seguridad en su rama 9.

Además de los antivirus "rogue" (falsos antivirus que no son más que malware) también está últimamente de moda entre los atacantes intentar que los usuarios de Windows descarguen una supuesta nueva actualización de Flash. Cuando acceden a un enlace donde se promete un apetitoso vídeo de YouTube, se pide la descarga de una nueva versión de Flash que corresponde con el malware en sí. Adobe, oficialmente, acaba de sacar su versión 10 de Flash Player y obviamente, recomienda su descarga. Es posible que esto confunda a usuarios que estén al tanto de la publicación de la nueva versión legítima de Flash, resultando así la ingeniería social más efectiva. Ante este potencial peligro, es necesario insistir en que las actualizaciones en general deben realizarse sólo a través de las páginas oficiales, además de comprobar que el archivo se encuentra firmado digitalmente por la compañía adecuada (algo que realiza Windows de forma automática por defecto).

Entre las mejoras, Flash 10 corrige la funcionalidad de versiones anteriores que permite a una web secuestrar el portapapeles. Con la función "setClipboard" de ActionScript (el lenguaje de programación de Adobe Flash) se puede modificar (pero no acceder) el contenido del portapapeles. Esto se está aprovechando actualmente para, a través de un archivo SWF, modificar a gusto del atacante el contenido del clipboard. Curiosamente, Flash 10 introduce una nueva función Clipboard.generalClipboard.getData que sí permite la lectura del portapapeles bajo ciertas circunstancias. Esto sí que podría llegar a suponer un problema grave de seguridad si se saltan las restricciones tenidas en cuenta por Adobe.

Adobe admitió el potencial peligro de estas funciones pero aun así no lo ha solucionado en las versiones anteriores a la 10. Como muchas otras compañías hacen, corregir exclusivamente en versiones avanzadas ciertos problemas (que pueden ser incluso de seguridad) sirve como excusa para fomentar una migración a su software más moderno. Por ejemplo, en estos momentos existen cinco potenciales fallos de seguridad en la rama 9 de Flash, que han sido solucionados exclusivamente en la 10. Para su versión 9, muy usada aún, se prolonga "artificialmente" la espera de la actualización hasta principios de noviembre.

Esta "técnica" es usada por muchas empresas. Algunas vulnerabilidades le son "oportunas" y aprovechan para actualizar sólo en una rama superior de su producto, forzando así una migración. Se usa la seguridad como moneda de cambio bien para obligar (como es el caso) a la conveniente actualización de un cliente gratuito (pero cuyo contenido se desarrolla con programas de pago), bien para directamente vender nuevos productos.

Un caso especialmente llamativo ocurrió con Microsoft y su Windows NT. A finales de marzo de 2003 Microsoft publicaba un boletín de seguridad para advertir de una vulnerabilidad en el servicio RCP Endpoint Mapper que podría ser aprovechada para provocar una denegación de servicio contra NT 4.0, 2000 y XP. En el apartado de actualizaciones, se informaba de que sólo estaban disponibles los parches para las versiones de Windows 2000 y XP, aun encontrándose NT en su ciclo normal de actualizaciones (no terminó oficialmente hasta enero de 2005). La excusa oficial: las propias limitaciones arquitectónicas de Windows NT 4.0, que es poco robusta en comparación con Windows 2000, y que requeriría demasiadas modificaciones para solucionar el problema. La excusa no se sostenía: La vulnerabilidad estaba ahí desde antes de ser descubierta... ¿y si hubiera salido a la luz unos años antes, cuando no existía Windows 2000? ¿Habrían dicho igualmente que es imposible de solucionar? Este incidente significaría el principio del fin para un producto que incluso hoy en día está muy arraigado en las empresas.


Sergio de los Santos
ssantos@hispasec.com


Más información:

01/09/2008 El "secuestro" del portapapeles
http://www.hispasec.com/unaaldia/3600

Flash Player update available to address security vulnerabilities
http://www.adobe.com/support/security/bulletins/apsb08-18.html

Adobe to prevent clipboard attacks via Flash Player
www.heise.de/english/newsticker/news/116338

27/03/2003 El principio del fin para Windows NT
http://www.hispasec.com/unaaldia/1614

No hay comentarios:

Publicar un comentario en la entrada