Хабрахабр / Комментарии к посту «Фундаментальный баг Adobe Flash не будут исправлять» в блоге «Информационная безопасность»

19.11.2009 13:03:57 kolpeex

kolpeex — Thu, 19 Nov 2009 13:03:57 GMT

Ясно, спасибо.

18.11.2009 12:55:03 b8c6

b8c6 — Wed, 18 Nov 2009 12:55:03 GMT

Ну так общей грамотности, и здравого смысла никто не отменял.
Хотя некоторые пытаются «вести себя по-новому» :-)

18.11.2009 11:53:54 vgrichina

vgrichina — Wed, 18 Nov 2009 11:53:54 GMT

Так я как бы пытался намекнуть что FlashBlock не гарантирует что флеш не запустится. Он конечно значительно понижает вероятность этого, но не гарантирует.

18.11.2009 11:42:40 b8c6

b8c6 — Wed, 18 Nov 2009 11:42:40 GMT

FlashBlock всё-таки решает проблему, т.к. он не даёт флешу быть запущенным. Вот если запустить вручную — тогда да.

18.11.2009 11:31:20 b8c6

b8c6 — Wed, 18 Nov 2009 11:31:20 GMT

Я хочу сказать, что дыра дыре рознь и под одну гребёнку чесать нет смысла. Надо разбираться с каждой ситуацией и решать проблемы грамотно, а не искать, на кого бы это свалить и пинать его ногами.

Описанная конкретно ситуация такова: На Gmail приходит письмо с прикреплённым активным содержимым, Gmail пытается показать аттач в браузере, отдавая сформированную страницу, при этом выполняется скрипт, который внутри этого аттача. Разумеется с разрешениями для домена Гугла.

Что надо сделать для устранения? Меня устраивает простой HTML вид в гугле: он быстр, информативен и достаточен для моих целей. Ума не приложу, почему его нельзя поставить по умолчанию, а не переключаться каждый раз. Если есть аттач, я могу скачать его к себе и запустить отдельно. Если хочу.

Я хочу сказать, что не надо разводить проблем, подобных описанным в тексте про «хакера», столовую и соль (*). Надо найти хакера и надавать ему люлей. Если это будет делаться быстро и безошибочно — то будет хорошо. К этому надо стремиться.

(*) известный текст в интернете, ознакомиться можно, например, тут forum.rsu.edu.ru/viewtopic.php?f=25&t=601

16.11.2009 14:05:50 arty

arty — Mon, 16 Nov 2009 14:05:50 GMT

я не понимаю, как вы можете называть уязвимости уязвимостями и при этом говорить, что это не проблемы. Уязвимости — это проблемы, а не архитектурные особенности. Уязвимости устраняются. Куча других уязвимостей во флеше уже устранена, хотя про них тоже можно было бы сказать «ну флеш — это по факту системное приложение…»

браузер, вообще-то, тоже системное приложение, которое подобно флеш-плагину интерпретирует скрипты. Вы хотите сказать, что дыры в IE — это не проблемы IE?

16.11.2009 12:57:15 savex

savex — Mon, 16 Nov 2009 12:57:15 GMT

В смысле еще так широко не используется

16.11.2009 12:56:53 b8c6

b8c6 — Mon, 16 Nov 2009 12:56:53 GMT

Согласен. Но тем не менее, по факту это — системное приложение, запускаемое с определёнными правами. И в принципе в нём возможна эксплуатация уязвимостей. Например, под windows — это доступ к реестру, файловой системе, разным объектам типа принтеров и т.п. от имени запустившего.

С одной стороны — это нужно и удобно, с другой — потенциально небезопасно. Кстати, насколько я знаю, у флеша свои печеньки (которые \Macromedia\Flash Player\ и не зависят от используемого браузера). Но, вполне возможно, механизм получения «браузерных» флешу тоже нужен: чтобы, к примеру, не требовать авторизации на страницу отдельно, на флеш-ролик — отдельно. Опять же, «просто к файловой системе» доступ у плеера, вроде, есть (тут я могу быть неправ!), а это значит, что теоретически можно, зная ОС и браузер, просто слить файлы с куками себе на сайт.

Вообще самое слабое звено тут — всё-таки сам способ хранения сессии с помощью печенек. По-хорошему, надо бы протокол, над TCP (или UDP — почему нет?), который шифрован, обеспечивает аутентификацию и сам держит сессию. Ну да вроде что-то такое уже давно разрабатывают. Ждём. Хрустя печеньками.

16.11.2009 12:35:08 trak

trak — Mon, 16 Nov 2009 12:35:08 GMT

В смысле «Wet»?

16.11.2009 12:34:14 trak

trak — Mon, 16 Nov 2009 12:34:14 GMT

Вот он, повод!

16.11.2009 12:25:02 edhell

edhell — Mon, 16 Nov 2009 12:25:02 GMT

Например, есть форум и нужен обмен файлами между участниками. Возможность участников загружать файлы в папочку myforum.ru/mynick/files/ нельзя назвать багом имхо. Скорее потенциальная уязвимость. И выше/ниже уже обсуждали, что просто запретить загрузку *.swf файлов может быть недостаточно, к тому же иногда это может быть нужно. Надо выносить файлы на отдельный домен.

16.11.2009 11:50:12 kolpeex

kolpeex — Mon, 16 Nov 2009 11:50:12 GMT

Но ведь тогда это не баг флеша, а баг сайтов, которые вот так вот ничего не делают против этого.

16.11.2009 07:55:33 Maksimus2000

Maksimus2000 — Mon, 16 Nov 2009 07:55:33 GMT

link rel=«stylesheet» href=«zzz.zip» type=«application/x-shockwave-flash» — и он будет работать в Embed

16.11.2009 03:25:40 marazm

marazm — Mon, 16 Nov 2009 03:25:40 GMT

В 99% случаев когда разработчики позволяют подгружать флеш – последние олени.

swf — приложение и нехер у себя запускать чужие приблуды. Всегда можно ограничиться набором приложений и позволить пользователю управлять лишь их параметрами. Не тупите.

15.11.2009 19:55:34 savex

savex — Sun, 15 Nov 2009 19:55:34 GMT

Вот что значит правильная фраза! ) Вам плюсы за <цензура>…
А мне минусы за шуточный пост…

15.11.2009 19:52:53 savex

savex — Sun, 15 Nov 2009 19:52:53 GMT

+500! :)

15.11.2009 16:52:15 d9k

d9k — Sun, 15 Nov 2009 16:52:15 GMT

Адмирал, я нашёл вас! 0_0

15.11.2009 15:07:48 TimTowdy

TimTowdy — Sun, 15 Nov 2009 15:07:48 GMT

Если для флеша будет отдаваться Content-Type: image/png — он все равно будет работать в embed?
Если да — тогда для устранения «бага» нужно чтобы он работал только в случае правильного Content-Type.
Если нет — тогда вообще «бага» никакого нет, что толку загружать на сервер флеш под видом png, если он все равно будет отдаваться с типом image/png и работать не будет.

15.11.2009 14:00:40 edhell

edhell — Sun, 15 Nov 2009 14:00:40 GMT

Хотя кажется я гоню с JS, слишком уж всё дыряво тогда получилось бы, т.к. можно заинклюдить JS-код самого сайта и вызывать его функции.

15.11.2009 13:47:25 edhell

edhell — Sun, 15 Nov 2009 13:47:25 GMT

Собственно как уже пишут в новом топике по сабжу, это проблема не только Flash. С тем же успехом можно загрузить Javascript-файл и потом на своей странице сделать [script src=...][/script] [script]getPrivateInfo();[/script] и получаем тот же эффект.

15.11.2009 13:40:42 edhell

edhell — Sun, 15 Nov 2009 13:40:42 GMT

Для gmail-а эта бага кажется и не прокатит, т. к. непредсказуем адрес, а чужие файлы недоступны.

Но если какое-то сервис позволяет загрузить swf-ку, которая будет доступна всем, то один раз сами её загружаем и вставляем тег embed на свою страницу. Останется показать нашу страницу интересующим людям.

15.11.2009 13:03:45 kolpeex

kolpeex — Sun, 15 Nov 2009 13:03:45 GMT

Ну и где, собственно, бага, если адрес загруженной в GMail флешки неизвестен злоумышленнику? «адрес прикрепленной вредной флэшки скопирован в буфер» Кто, простите, будет так делать? Может сразу javascript:xxxx в адресную строку?

14.11.2009 14:05:58 egorinsk

egorinsk — Sat, 14 Nov 2009 14:05:58 GMT

Упс, туплю немного :)) Правильный пункт 2) выглядит так:

2) На *своем* сервере пишем код типа: [a href=«mail.google.com/… путь к флешке»]
3) Заманиваем жертву на свой сервак, где яваскрипт кликает по ссылке и загружает флешку в браузер. Для флешки origin domain будет хост. где она расположена. например mail.google.com

14.11.2009 13:55:04 egorinsk

egorinsk — Sat, 14 Nov 2009 13:55:04 GMT

Перевожу еще раз для всех, кто тупит! И не понимает основ!!! HTML, теорию блин учите! Так вот.

1) Загружаем флеш на нужный нам сайт, например: vkontakte :) gmail или куда-то еще, лишь бы туда можно было лить флеш.
2) На *своем* сервере пишем код типа: [embed src=«mail.google.com/… путь к флешке»]
3) Заманиваем жертву на свой сервак
4) Флешка загружается в браузер жертвы и получает доступ к кукам юзера на mail.google.com, + возможность жделать туда запросы.

Как уже замечено, взломщикам может помочь то, что флеш можно «склеить» с zip, gif и прочими файлами, что расширяет диапазон сайтов для взлома.

Единственное исправление, в самом новом флеше: Если есть заголовок Content-disposition :attachment, такая флешка выполняться не будет. Это защищает правильно сделанные (т.е. отдающие этот заголовок) файлообменники, форумы с вложениями для скачивания, и т.д.

Если же сайт позволяет загружать на себя флеш и отображать его — он (точнее его юзеры) может стать жертвой.

Кто виноват?

Инвалиды-разработчики HTML, которые позволили включать на страницу 3rd party активный контент (скрипты, флеши, апплеты). Производители браузеров, которые их послушали. В связи с этим уже пришлось придумать кучу дурацких правил, типа same origin policy, которая все равно например не дает 100% защиты, а только осложняет все. Сколько с этим связано угроз типа CSRF, угроз приватности и прочего — никто не борется :((

К тому же все эти тонкости слишком сложны для понимания начинающими разработчиками, что потенциально увеличивает число уязвимых сайтов.

Как бороться?

Либо не позволять загружать на свой сайт флеш (даже если он переименован в zip к примеру)б либо хранить загружаемые юзерами файлы на отдельном домене, либо отдавать все загружаемые файлы с Content-Disposition: attachment.

Что делать?

Запретить флеш :) Я например, включил флеш только для сайтов типа ютуб, на многих других он все равно не нужен (спасибо, флешевую рекламу оставьте себе).

14.11.2009 13:33:47 ReaM

ReaM — Sat, 14 Nov 2009 13:33:47 GMT

Эта уязвимость существует с момента появления action script'a во флеше, на античате как-то года три назад я заморачивался с этой проблемой. А возможность загрузки флэша(swf) на сайт — вообще опасная штука сама по себе, не знаю кто это делает у себя даже…

14.11.2009 01:47:40 Arceny

Arceny — Sat, 14 Nov 2009 01:47:40 GMT

Так было несколько лет назад, теперь всё в порядке.
Ubuntu Linux user.

14.11.2009 01:13:42 DnV

DnV — Sat, 14 Nov 2009 01:13:42 GMT

Скорей бы для вас врубилась пятиминутная задержка между отправкой постов.

13.11.2009 23:43:29 TDz

TDz — Fri, 13 Nov 2009 23:43:29 GMT

Гмайл там приплетён для красоты слога. Мысль в том что на куче сайтов, форумов, сервисов картинок итд итп можно аплоадить свои файлы. Специально подготовленный «вредоносный» флеш маскируется под (частично валидный) zip/txt/gif/etc для обхода фильтров. Теперь стоит в любом месте (желательно людном если атака не прицельная) на него сослаться чтобы украсть куки того домена на котором он физически лежит. Таким образом если нам разрешат положить .zip на домен 12345.com мы сможем украсть кукисы пользователей этого сайта. Как пример этому думаю будут подвержены большинство сайтов на стандартных движках разрешающих залив картинок — а таких уже тысячи и для отдачи картинок используется как правило тот же домен — тоесть ходи себе да собирай учётные записи на популярные сайты

13.11.2009 21:23:26 valyard

valyard — Fri, 13 Nov 2009 21:23:26 GMT

Дык в итоге-то кто-нить может внятно объяснить что происходит?

Я пока понимаю это так. Я посылаю swf или файл замаскированный под swf (как говорили, можно дописать zip и он будет валидным) на ящик @gmail.com. Потом узнаю его адрес на сервере gmail. Далее делаю страницу на своем сервере куда гружу этот swf с сервера гугла и затаскиваю туда пользователя. Если он залогинен на гмыле, то тырю через яваскрипт из флэша куки с домена mail.google.com.

При этом есть несколько вопросов, которые нужно проверить.

13.11.2009 21:22:17 Talleyran

Talleyran — Fri, 13 Nov 2009 21:22:17 GMT

ага… и длинный пост про любовь

13.11.2009 21:15:17 Talleyran

Talleyran — Fri, 13 Nov 2009 21:15:17 GMT

интересно не любят = не знают…
Может его не любят за то что AS3.0 требует ООП…
Я не люблю флэш потому что считаю браузер куда более мощным «рендером» графических интерфейсов. Но тем не менее понимаю, что некоторые программные интерфейсы во флэше куда более удобные нежели в js. Например 3d.
Собственно с тегами аудио и видео фэшу остались сокеты и 3d… хотя нафига в браузере сокеты…
Вообще не вижу особых причин для ненависти: не нравится не используй. Если заказчик хочет на промосайте эффектное флэш меню, то почему нет (если конечно вы умеете работать во флэше), анимация во флэше работает плавнее, чем в js (по крайней мере пока), удобно работать со звуком и 3d, промосайт должен привлекать внимание. А какой идиот будет делать во флэше навигацию по сайту в сервисе оля хабр. Флэшу флэшево, вот и все.

13.11.2009 21:07:24 valyard

valyard — Fri, 13 Nov 2009 21:07:24 GMT

И сильверлайт и ява и яваскрипт — все подвержены этой уязвимости. Ясен пень, об этом в посте нигде не упомянуто.

13.11.2009 21:02:09 Gero

Gero — Fri, 13 Nov 2009 21:02:09 GMT

Не все подчиняется логике.

13.11.2009 20:56:03 Talleyran

Talleyran — Fri, 13 Nov 2009 20:56:03 GMT

ну и где же правда?

13.11.2009 20:52:31 valyard

valyard — Fri, 13 Nov 2009 20:52:31 GMT

не совсем уж и полный
надо проверить кое что перед вменяемым ответом
но что тут не любят флэш как технологию это да
любой повод сказать флэш говно обрастает плюсами
и пофиг что при этом куча других технологий имеют те же самые косяки

13.11.2009 20:47:19 savex

savex — Fri, 13 Nov 2009 20:47:19 GMT

Мне совершенно насрать на рейтинг

13.11.2009 19:50:13 Chikey

Chikey — Fri, 13 Nov 2009 19:50:13 GMT

Вот он повод перестать писать коменты в этом духе — все равно минусуют

13.11.2009 18:28:41 Talleyran

Talleyran — Fri, 13 Nov 2009 18:28:41 GMT

объясните логику:

P_r_i_m_a_t
Вот он повод перейти на HTML5 Canvas. +37

cybery4k
С распространением HTML5 имхо Flash можно вообще закопать. -3

Флешеры активизировались?
Повторяю: флеш — говно. +22

Да еще с тем учетом что в статье полный бред.

13.11.2009 18:13:08 Talleyran

Talleyran — Fri, 13 Nov 2009 18:13:08 GMT

лол
почему «эксплойт» открыл окно на сайте автора страницы, а не гмайловской…
«Flash имеет доступ к куки того домена, с которого он загружен (а не того, где расположен тег object).» — причем тут вообще эксплойт. Если б все было так просто…

13.11.2009 18:07:54 Talleyran

Talleyran — Fri, 13 Nov 2009 18:07:54 GMT

хуета и провокация… и туча лолов.
Как исполнится скрипт на сервере, если у него не будет флага «исполняемый».
Через обычную форму тоже можно дофига всего закачать.
Дальше: «Flash имеет доступ к куки того домена, с которого он загружен (а не того, где расположен тег object).» Жесть если это так — просто мрак… но где это продемонстрировано в ролике. Типа в алерте был текст письма? — открываем фаирбаг, смотрим… что-то не вижу переменной, в которой храниться текст письма. Ролик вообще ни о чем. Кому-нибудь удалось получить доступ к кукам другого домена?))
Флэш вообще не умеет оперировать куками, это делается через яваскрипт.
Далее типа пруфлинк, но там рассказывается про некий сомнительный эксплойт, а вначале речь шла о куках.
Короче, мальчики, вас разыграли. Оттирайте моник от слюней. И хотя я флэш не очень люблю, здесь полный бред.