"Zagrożenie jest naprawdę poważne. Z naszych analiz wynika, że każda witryna pozwalająca użytkownikom na przesyłanie danych na serwer jest potencjalnie narażona na atak - a większość z nich jest na pewno na niego podatna" - mówi Mike Murray, specjalista z amerykańskiej firmy Foreground Security (która wykryła błąd).

Problem jest związany z pewną funkcją technologii Flash ActionScript, której zadaniem jest blokowanie prób uruchamiania potencjalnie niebezpiecznych obiektów Flash (np. pochodzących z innej witryny niż ta aktualnie wyświetlona w przeglądarce). Niestety, okazuje się, że możliwe jest osadzenie na stronie złośliwego kodu Flash (za pomocą formularza do uploadowania plików) - tak, by był on traktowany przez przeglądarkę jako "legalny" element oryginalnej witryny i uruchamiany bez żadnych przeszkód.

"To bardzo niebezpieczna sytuacja. Prawie każda popularna witryna umożliwia użytkownikom uploadowanie jakichś plików - a z naszych dotychczasowych badań wynika, że większość z nich jest podatna na atak" - mówi Mike Bailey, specjalistya ds. bezpieczeństwa z Foreground Security.

Bailey opublikował w firmowym blogu szczegółowy opis hipotetycznego ataku - jego zdaniem jest on "przerażająco łatwy" do przeprowadzenia. Przestępca musi jedynie stworzyć złośliwy obiekt Flash i za po mocą odpowiedniego formularza przesłać go na stronę. Jako przykładu specjalista użył zwykłego forum firmowego, na którym można publikować zdjęcia. "Wystarczy przesłać na stronę złośliwy plik Flash, który będzie wyglądał tak jak popularny avatar. Wtedy każdy, kto wyświetli go w przeglądarce, stanie się celem ataku" - tłumaczy przedstawiciel Foreground Security.

Odkrywcy błędu skontaktowali się już w tej sprawie z przedstawicielami koncernu Adobe. Usłyszeli od nich, że luki... nie da się załatać - zamiast tego firma próbuje uświadamiać webmasterom i administratorom stron, że istnieje takie zagrożenie i namawiać ich do rozwiązania problemu poprzez odpowiednie zmodyfikowanie witryny. Na razie bez większych sukcesów - mówią Bailey i Murray.

Brad Arkin - dyrektor ds. bezpieczeństwa produktów Adobe - tłumaczy, że problem dotyczy nie tylko Flasha. "Naszym zdaniem to dużo poważniejsza sprawa. Ten problem z bezpieczeństwem występuje na każdej stronie obsługującej aktywne skrytpy - nie tylko Flash, ale także JavaScript czy Silverlight. Nawet gdybyśmy jakimś cudem zdołali stworzyć magiczną poprawkę dla Flasha, to i tak nie rozwiązałoby problemu - bo inne technologie są tak samo podatne na atak" - mówi Arkin. Dlatego też jego zdaniem najlepszym rozwiązaniem jest informowania o zagrożeniu administratorów oraz webmasterów - i namawianie ich, by tworzyli swoje serwisy tak, by pewnych funkcji nie dało się nadużywać do złośliwych celów.

"Faktycznie, to w tej chwili wydaje się najlepszym rozwiązaniem - i niektórzy zaczynają już z niego korzystać (tzn. umieszczają pliki nadsyłane przez użytkowników w innej domenie - dzięki temu złośliwy kod nie może być podszyć się pod element oryginalnej strony). Wiemy, że zabezpieczone są już m.in. Windows Live Hotmail Microsoftu oraz Youtube. Ale większość administratorów i webmasterów wciąż nie ma pojęcia, że powinni wprowadzić jakieś zmiany" - komentuje Bailey. Wśród stron narażonych na atak jest m.in. Gmail - choć przedstawiciele Foreground Security zgodnie zastrzegają, ze wykorzystanie luki do atakowania użytkowników byłoby w tym przypadku niezmiernie trudne (aczkolwiek teoretycznie jest możliwe).

Co ciekawe, na atak podatne są również niektóre serwisy należące do... Adobe. "Dlaczego oni właściwie sądzą, że ktoś posłucha ich apeli o zabezpieczenie witryn, skoro sami nie są w stanie tego zrobić?" - pyta retorycznie Murray.

Dobra wiadomość jest taka, że na razie przestępcy nie zaczęli korzystać z tej metody ataku - ale specjaliści znaleźli dowody na to, że ataki są już szykowane. Dlatego też zdecydowanie zalecają administratorom i webmasterom zastosowanie się do wskazówek Apple. Użytkownicy też mogą się zabezpieczyć - najprostszym sposobem jest zrezygnowanie z korzystania z Flasha. Ale dużo lepszym rozwiązaniem jest zainstalowanie wtyczki NoScript do Firefoksa lub ToggleFlash do IE (które m.in. blokują próby uruchomienia złośliwego kodu).