Archivos Flash, un gran problema de seguridad

Se han reportado vulnerabilidades críticas en muchas de las
herramientas web más populares que generan archivos Shockwave
Flash (SWF), de forma automática, esto es Adobe, Dreamweaver,
Adobe Acrobat, Connect (Macromedia Breeze), InfoSoft
FusionCharts, y Techsmith Camtasia.

Los fallos hacen que los sitios web que albergan estos
archivos SWF, sean vulnerables a ataques del tipo Cross-Site
Scripting (XSS).

Este problema no se limita a las herramientas de autor, y un
considerable porcentaje de sitios con archivos SWF
actualmente expuestos en Internet son vulnerables. Muchos de
esos, son sitios importantes.

Las vulnerabilidades están relacionadas con el uso de
ActionScript, el lenguaje utilizado para el desarrollo de las
herramientas de autor. ActionScript permite el desarrollo de
interfaces de usuario y aplicaciones, y no solo animaciones
con Flash.

Los archivos vulnerables pueden ser utilizados por atacantes
para ejecutar código JavaScript malicioso en el ámbito del
sitio web que hospede estos archivos.

Otras clases de ataques pueden ser posibles, ya que otros
productos relacionados podrían también ser afectados con este
problema. El uso de ciertos parámetros, puede forzar a las
víctimas a descargar archivos y ejecutar protocolos sin su
conocimiento.

Solo se han informado los detalles de aquellos productos que
han sido actualizados por sus vendedores (los mencionados al
comienzo). Pero mientras existan archivos SWF "inyectados"
con código malicioso en una gran cantidad de sitios de
Internet, el problema es considerado como importante.

Se recomienda a los usuarios, actualizar las versiones de sus
reproductores y plugins de Flash (Flash Player, etc.), a las
versiones más recientes.

Crear aplicaciones SWF seguras

* Más información:
XSS Vulnerabilities in Common Shockwave Flash Files

* Créditos:
Rich Cannings

* Relacionados:
Ejecución de enlaces en Adobe Flash Player
http://www.vsantivirus.com/vul-flash-player-181207.htm

Fuente:
http://www.vsantivirus.com/03-01-08.htm
http://myspace.wihe.net/grave-vulnerabilidad-de-flash/
http://www.theregister.co.uk/2007/12/21/fl...ability_menace/