Error de diseño permite escanear puertos con Flash

en Noticias de Seguridad Informatica
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Noticias de Actualidad : Noticias de Seguridad Informatica
Noticias de Seguridad Informatica Noticias de Seguridad Informatica Todas las Noticias de Seguridad Informatica. Alertas y fallos de seguridad.

Error de diseño permite escanear puertos con Flash

Compartir

Debido a un error de diseño en el manejo de sockets por parte de ActionScript 3 (AS3), las películas en Flash (SWF), pueden escanear puertos TCP abiertos en cualquier host accesible desde el equipo en que se ejecuta el SWF, eludiendo la seguridad del Flash Player (Flash Player Security Sandbox Model).

Un socket, es un canal de comunicación que se abre entre un puerto de nuestra computadora y la computadora a la que nos conectamos a través de la red.

ActionScript 3, es un lenguaje de programación utilizado en aplicaciones web animadas, realizadas en Adobe Flash.

Adobe Flash Player es un reproductor multimedia de archivos SWF (películas en Flash), FLV (Flash Video) y otros, que se instala como plug-in en la mayoría de los navegadores más utilizados.

El problema se produce en un evento introducido en las últimas versiones de AS3 por parte de Adobe (SecurityErrorEvent), el cuál es lanzado siempre que Flash Player intenta conectarse a un socket no permitido.

Una nueva instancia de Flash Player es utilizada por cada puerto examinado.

Aunque la explotación exitosa de este problema tiene algunas limitaciones, en algunos ambientes podría ser crítico, debido a que un exploit puede ejecutarse por simplemente abrir una página web con contenido Flash.

Existe una prueba de concepto pública.

Las siguientes combinaciones de software han sido probadas, y son vulnerables:
Windows XP SP2: IE 6 / Flash Player 9.0.47.0
Windows XP SP2: Firefox 2.0.0.5 / Flash Player 9.0.47.0
Windows XP SP2: IE 7.0.5730.11 Flash Player 9.0.47.0
Ubuntu Edgy: Firefox 2.0.0.5 / Flash Player 9.0.47.0
Mac OSX 10.4.10: Safari 2.0.4 / Flash Player 9.0.47.0
Mac OSX 10.4.10: Safari 3.0.2 / Flash Player 9.0.47.0
Mac OSX 10.4.10: Firefox 2.0.0.6 / Flash Player 9.0.47.0
Solaris 10 i86: Firefox 2.0.0.3 / Flash Player 9.0.47.0
No funciona como se espera en la siguiente combinación:

Mac OSX 10.4.10: Opera 9.22 / Flash Player 9.0.47.0
No hay soluciones oficiales al momento de publicarse esta alerta.

Si se utiliza Flash Player 9.0.47.0, se sugiere navegar por sitios seguros únicamente.

Algunos recomiendan incluso volver a versiones anteriores del Flash Player, pero no lo aconsejamos, ya que existen otras vulnerabilidades corregidas en la última versión de Flash Player, que también pueden poner en riesgo su PC, incluso permitiendo la ejecución remota de código (ver "Relacionados"), lo que es un riesgo mayor.

Es posible verificar que versión de Flash Player se tiene instalada, si se abre el siguiente enlace:

http://www.macromedia.com/software/flash/about/

También puede hacerse clic con el botón derecho en una animación de Flash, seleccionando luego "Acerca de Macromedia Flash...". Si usted utiliza o tiene instalados varios navegadores en su computadora, debe repetir esta prueba en cada uno de ellos.

Apenas Macromedia publique una versión corregida, aconsejamos su inmediata actualización.


Referencias:

Design flaw in AS3 socket handling allows port probing
http://scan.flashsec.org/

Créditos:

David Neu
Fukami
SektionEins

Fuente: VSANTIVIRUS
Compartir
  #1  
Creado: 13-Aug-2007, a las 21:33 Vistas: 434
Categoria: Noticias de Seguridad Informatica
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
diseño, error, escanear, flash, puertos


Temas Similares
» EZ Save Flash, hazte con esa imagen Flash que viste en Internet 0
» MSI Big Bang Marshal: 8 puertos PCI-E 16x, 8 puertos USB 3.0 y 3 BIOS 0
» Google logra acuerdos con 20.000 editores para escanear fragmentos de sus obras 0
» Error de diseño en teclados Dell causa caos en Gran Bretaña 0
» Error con tablas de diseño en SolidWorks 2007 0
» no puedo bajar nada y mi flash player no funciona!! error 1904.Module flash9.ocx 4
» Error de diseño y vulnerabilidad en IE7 (navcancl) 0
» Error de diseño: Revelación de información en Windows 0
» "error 438: Error desconocido al almacenar su ordenador... que hago? 0
» Error al copiar un archivo o carpeta: Error de datos (comprobación de redundancia cíclica) 1


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 19:06.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4