jueves, 28 de abril de 2016

Actualización para Adobe Analytics AppMeasurement para librería Flash

Tras las recientes actualizaciones de Adobe de los últimos días, la compañía ha publicado una actualización para Analytics AppMeasurement para librería Flash que podría permitir la construcción de ataques de cross-site scripting basado en DOM.

En el boletín de seguridad APSB16-13 de Adobe se recoge una actualización, calificada como importante, para Adobe Analytics AppMeasurement para librería Flash versión 4.0 (y anteriores). Los desarrolladores pueden añadir este componente a los proyectos para registrar cuanta gente usa la aplicación Flash y lo que hace.

El problema solo afecta a AppMeasurement para Flash cuando esté activa la opción "debugTracking" (en la configuración por defecto está desactivada).

La vulnerabilidad (con CVE-2016-1036), de la que no se han facilitado detalles, podría permitir a un atacante construir ataques de cross-site scripting basados en DOM. En los ataques XSS basados en DOM se modifica el entorno DOM en el navegador de la víctima. Esto es, la página en sí (la respuesta http) no cambia (como ocurre en los XSS tradicionales), pero el código contenido en la página en el lado del cliente se ejecuta de forma diferente debido a las modificaciones realizadas por el ataque en el entorno DOM.

El problema fue reportado por el investigador Randy Westergren (‎@RandyWestergren) que ha confirmado que en un par de semanas publicará los detalles técnicos.  

Adobe ha publicado Analytics AppMeasurement para librería Flash 4.0.1. El problema debe ser corregido por los desarrolladores, que deberán reconstruir los proyectos con la librería actualizada, disponible para descarga desde la consola Analytics.

Más información:


Security update available for the Adobe Analytics AppMeasurement for Flash Library

DOM Based XSS


Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada