Tras
las recientes
actualizaciones
de Adobe de los últimos días, la compañía ha publicado una actualización para Analytics AppMeasurement para librería
Flash que podría permitir la construcción de ataques de cross-site scripting basado en DOM.
El problema solo afecta a AppMeasurement
para Flash cuando esté activa la opción "debugTracking" (en la configuración por defecto está
desactivada).
La vulnerabilidad (con CVE-2016-1036),
de la que no se han facilitado detalles, podría permitir a un atacante
construir ataques de cross-site scripting basados en DOM. En los ataques XSS
basados en DOM se modifica el entorno DOM en el navegador de la víctima. Esto
es, la página en sí (la respuesta http) no cambia (como ocurre en los XSS
tradicionales), pero el código contenido en la página en el lado del cliente se
ejecuta de forma diferente debido a las modificaciones realizadas por el ataque
en el entorno DOM.
El problema fue reportado por el
investigador Randy Westergren (@RandyWestergren) que ha confirmado que en un
par de semanas publicará los detalles técnicos.
Technical write-up to follow in a couple weeks. https://t.co/MRTXAi5DuB— Randy Westergren (@RandyWestergren) 21 de abril de 2016
Adobe ha publicado Analytics
AppMeasurement para librería Flash 4.0.1. El problema debe ser corregido por
los desarrolladores, que deberán reconstruir los proyectos con la librería
actualizada, disponible para descarga desde la consola Analytics.
Más información:
Security update available for the Adobe
Analytics AppMeasurement for Flash Library
DOM Based XSS
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario