В конце прошлой недели Adobe закрыла уязвимость в библиотеке Analytics AppMeasurement for Flash, добавляемой во Flash-проекты для оценки степени использования соответствующего контента.

Данная брешь (CVE-2016-1036) представляет собой XSS, реализуемый через DOM-модель. Ее обнаружил исследователь Рэнди Уэстергрен-младший (Randy Westergren Jr.), предупредивший, что этот баг можно использовать для кражи куки.

В отличие от хорошо известных XSS-атак, проводимых посредством внедрения вредоносного кода в возвращаемую по HTTP(S) страницу, XSS через DOM предполагает модификацию среды обработки DOM в браузере, используемой клиентским скриптом. При этом, согласно OWASP, вредоносный код воздействует на исполнение клиентского кода, содержащегося на сайте.

По словам Уэстергрена, данная уязвимость позволяет добиться выполнения JavaScript-кода в контексте атакуемого сайта. «Как правило, атакующий провоцирует пользователя перейти по специально созданной ссылке, чтобы исполнить полезную нагрузку, — комментирует исследователь. — При этом велик риск кражи куки или других злонамеренных изменений на сайте. Украв куки, атакующий сможет присвоить сессию аутентифицированного пользователя на целевом сайте, что позволит ему выполнять разные действия от имени этого пользователя».

Уэстергрен уже сообщил ряду вендоров об аналогичных проблемах с коммуникациями между Flash и JavaScript; по его расчетам, все они выпустят патчи к концу текущего месяца. Adobe со своей стороны в бюллетене отметила, что данную XSS можно использовать во Flash лишь при включенном режиме debugTracking, который в дефолтных конфигурациях деактивирован. Согласно разработчику, уязвимости подвержены Analytics AppMeasurement for Flash версий 4.0 и ниже. Обновленная библиотека (4.0.1) уже доступна через Analytics Console.

Нынешний патч вышел спустя две недели после внеочередного обновления Flash Player. Adobe тогда в срочном порядке залатала брешь 0-day, находившуюся под атакой, а заодно исправила еще два десятка багов.

Категории: Уязвимости