[SECURITY-L] Bug grave no Flash expõe sistemas Windows e Unix
Daniela Regina Barbetti Silva
daniela em ccuec.unicamp.br
Seg Ago 12 10:54:25 -03 2002
----- Forwarded message from caio_sm <caio_sm em ibahia.com> -----
From: "caio_sm" <caio_sm em ibahia.com>
Subject: Bug grave no Flash expõe sistemas Windows e Unix
To: daniela em ccuec.unicamp.br
Date: Fri, 09 Aug 2002 21:48:26 GMT
Bug grave no Flash expõe sistemas Windows e Unix
Acaba de ser descoberta mais uma falha de segurança na popular tecnologia
Shockwave Flash, da Macromedia. Segundo a eEye Digital Security, o bug
permite a um hacker executar códigos arbitrários em sistemas afetados.
A vulnerabilidade é limitada, no entanto, aos arquivos Flash editados
manualmente através de um editor binário. Isso significa que o aplicativo
Flash não irá produzir arquivos vulneráveis por conta própria. A informação
foi confirmada pela Macromedia.
O problema é sério porque afeta browsers - que supostamente estão
protegidos por firewalls para receber tráfego externo - e porque atinge
todas as versões do Shockwave Flash utilizadas no Internet Explorer e
Netscape Navigator nas plataformas Windows e Unix.
O bug resulta de um problema no cabeçalho de dados dos arquivos Flash e
possibilita a um hacker inserir mais informações no decodificador de
arquivos do que o esperado. Eventualmente, a pessoa mal-intencionada pode
vir até a executar o código, alerta a empresa de segurança.
Como a vulnerabilidade está associada ao uso de browser, pode ser explorada
em qualquer situação em que um um navegador visualize arquivos Flash, como
acesso a uma página na Internet, leitura de e-mail ou newsgroups.
A Macromedia já liberou a correção para o problema no site:
http://www.macromedia.com/v1/handlers/index.cfm?ID=23293&Method=Full&TitlePSB02%2D09%20%2D%20Macromedia%20Flash%20Malformed%20Header%20Vulnerability%2
TEXTO RETIRADO DO SITE:
http://idgnow.terra.com.br/webworld/namidia/2002/08/0041
Caio Souza Mendes
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L