شماره: IRCNE200911498
يك بي توجهي در سياست امنيتي نرم افزار فلش، مشاهده كنندگان وب سايتهايي را كه محتويات آنها توسط كاربران توليد شده است (user-generated content sites) در معرض خطر قرار مي دهد. مطالب مذكور توسط يك محقق امنيتي بيان شده است كه راهي را براي سوءاستفاده از روشي كه مرورگرها جهت رسيدگي به فايلهاي فلش به كار مي برند، پيدا كرده است.
آقاي Mike Bailey يك محقق ارشد امنيتي در شركت امنيتي Foreground Security در يك مصاحبه اظهار كرد كه مشكل از سياست امنيتي فلش ناشي مي شود و گفته است:
"لازم است Adobe روشي را كه Flash Player براي اجراي سياست هاي امنيتي به كار مي برد تغيير دهد تا به محتويات دلخواه امكان دسترسي بدون اجازه به برنامه هاي كاربردي را ندهد. اين نرم افزار به صورت پيش فرض به هر چيزي اعتماد مي كند در حالي كه بايد تنها به برنامه هاي داراي مجوز اعتماد كند."
مدير امنيت اطلاعات شركت مذكور نيز مي گويد، به عنوان مثال يك نفر مي تواند چيزي را كه ظاهراً يك تصوير است در وب سايتهاي اجتماعي قرار دهد، ولي تصوير مذكور در واقع يك فايل فلش باشد كه براي اجراي يك كد خرابكار در مرورگر، زماني كه فايل باز شود، طراحي شده باشد و رايانه هر كسي كه آن را مشاهده كند مورد مصالحه قرار مي گيرد.
شركت Adobe مدتي است كه از نقص سياست امنيتي مذكور اطلاع دارد ولي قادر نيست آن را برطرف كند زيرا بسياري از فايلهاي فلش موجود و برنامه هاي كاربردي در سراسر وب دچار مشكل خواهند شد.
كارشناسان امنيتي مي گويند كه در حال حاضر تعداد بسيار زيادي وب سايت آسيب پذير در اين رابطه وجود دارند كه تنها كاري كه مي توانند انجام دهند تغيير تنظيمات وب سايت براي كاهش خطر است. وي همچنين به كاربران توصيه مي كند كه Flash را كاملاً غيرفعال ساخته و يا از امكان NoScript استفاده كنند كه يك Plug-in مرورگر است و محتويات جاوا و فلش از وب سايتهاي غير مطمئن را غيرفعال مي سازد.
- 2