Воспоминания о старом баге: четырехлетней давности патч Adobe оказался неполным

Четыре года назад выпущенный патч для Flash должным образом не исправил уязвимое приложение Flex, и злоумышленники по-прежнему могут использовать баг, который, говорят, затрагивает до 30 процентов из десятки самых популярных в мире сайтов и угрожает бизнесу компаний-владельцев этих сайтов.

По словам исследователей, сообщивших о проблеме, файлы Shockwave Flash, скомпилированные уязвимым программным пакетом Flex, остаются эксплуатируемыми в полностью обновленных веб-браузерах и Flash-плагинах.

Flex

Flex (ранее Adobe Flex, теперь Apache Flex), представляет собой SDK для разработки и развертывания кросс-платформенных многофункциональных интернет-приложений на базе платформы Adobe Flash.

Изначально он был разработан в Macromedia, а после приобретен компанией Adobe Systems. В 2011 году Adobe передала Flex в Apache Software Foundation. Последняя версия от Adobe значится под номером 4.6.0; текущая версия — 4.14, выпущенная Apache 28 января 2015 года.

"Indirect" SOP bypass, data stealing and actions forging with a four years old vulnerability: CVE-2011-2461 is back! http://t.co/NzGVkP0IfX

— Luca Carettoni (@lucacarettoni) March 19, 2015

Лука Кареттони – специалист по безопасности из LinkedIn, он является одним из авторов исследования уязвимости Flex. Дав ограниченное описание, они попытались смягчить возможные последствия, так что полный отчёт ещё последует.

Воспоминания о старом баге: четырехлетней давности патч Adobe оказался неполным #security

Tweet

Adobe утверждает, что выпустила инструмент исправления проблемы в приложении Flex ещё в 2011 году.

Суть ошибки

Речь идёт об уязвимости CVE-2011-2461. Если её правильно эксплуатировать, ошибка может позволить злоумышленнику украсть информацию из уязвимых систем путем всё той же подделки источника запроса и даже выполнять действия от имени пользователей уязвимых версий посредством межсайтовой подделки запроса. В любом случае, нападавшие должны заставить свои жертвы посетить заготовленную вредоносную веб-страницу.

Другими словами, исследователи утверждают, что хостинг уязвимых файлов SWF ведёт к «косвенному» обходу принципа одинакового источника в полностью пропатченных веб-браузерах и плагинах.

На практике это означает, что, по мнению исследователей, можно заставить уязвимые ролики Flash выполнять запросы одинакового источника и возвращать ответы обратно злоумышленнику. А так как HTTP-запросы содержат куки и исходят с домена жертвы, ответы HTTP могут содержать конфиденциальную информацию, включая жетоны от CSRF и данные пользователя. Что преступникам как раз и надо.

Потенциальные меры по снижению риска включают перекомпиляцию SDK Flex вместе с их статическими библиотеками, установку патча при помощи официального инструмента исправлений Adobe, выпущенного еще в 2011 году, и просто удаление в случае ненадобности.

Не первый раз

Это точно не первый раз, когда какая-нибудь серьезная уязвимость оказывается недоисправленной. В начале этого месяца стало известно, что пятилетней давности патч для уязвимости CVE-2010-2568, которую эксплуатирует Stuxnet, был неполным, и машины оставались уязвимыми с 2010 года. Об эксплойтах пропатченных машин широкой публике ничего не известно, но риска подобного это не отменяет.

В прошлом году мы все наблюдали драму в двух актах под названием «патч Shellshock»: первые попытки исправить страшную брешь оказались неудачными, поэтому в конечном итоге получилось целых четыре записи CVE, касающихся одной и той же проблемы.

Неполные патчи – такое же зло, как их полное отсутствие. Или того хуже #security

Tweet

Неверные и неполные патчи особенно опасны. Первоначальное обновление привлекает много внимания, и как только оно выходит, велика вероятность того, что множество ИТ-специалистов принимают меры немедленно (или, по крайней мере, в разумные сроки). А после этого все считают, что они уже в безопасности.

Но если патч оказывается неполным и сам требует исправления, шансы на немедленные действия уменьшаются. Не все сразу узнают о неполноценности исправления, а тот, кто узнает, может подумать: «Кто знает, сколько ещё патчей потребуется, давайте подождем, пока не выйдет окончательное обновление, которое работает». Таким образом, системы могут оставаться уязвимыми и атакуемыми в течение более длительного периода, чем следовало бы.

В конце концов, установка обновление — нечто вроде азартной игры. Крайне важно поддерживать ПО в актуальном состоянии и знать обо всех серьезных уязвимостях, которые могут угрожать вашей сети и программному обеспечению, но это ещё не гарантирует безопасность само по себе. Если у вас нет настроенной многослойной защиты, которая может справиться даже с ещё неизвестными угрозами, ваша защита далека от безупречной.