L’abbiamo già visto capitare: quando una determinata tecnologia viene adottata da numerosi distributori ed è un veicolo utilizzato per consegnare contenuti ad una massa sufficientemente ampia, diventa bersaglio prediletto per i cracker.
Oggi Adobe avverte che ha riparato 7 falle considerabili come “critiche” in Flash: si tratta di bug attraverso i quali un malintenzionato potrebbe sfruttare un banner pubblicitario (ad esempio) per perpetrare attacchi sulle macchine degli utenti e nel caso specifico anche eseguire codice. Ma più ancora del solo browser, i contenuti in Flash girano anche nei client mail o altre applicazioni (quelle Adobe ne fanno ad esempio un ampio utilizzo), dunque sempre di più gli esperti di sicurezza registrano un aumento di banner pubblicitari malevoli già ribattezzati “malvertisments”.
I sintomi sono solitamente un rapido rimpicciolimento delle finestre non appena si visualizza il banner incriminato e l’emergere di avvisi di infezione (se si utilizzano firewall o sistemi di protezione aggiornati). A quel punto premere “Annulla” sugli avvisi importa poco, poichè si attiva un redirect su altri siti contenenti spyware.
E non è nemmeno la prima volta che accade una cosa simile: già in gennaio Flash aveva posto rimedio a quanti usavano la sua tecnologia per dare vita a file swf in grado di avvantaggiarsi si attacchi di script cross site. In totale solo a metà marzo i siti individuati e colpevoli di mostrare contenuti in Flash malevolo erano 10.000, numeri piccoli per la rete ma grandi per un fenomeno ancora poco conosciuto.
Il rimedio che Adobe vorrebbe implementare è un sistema di policy che consenta l’uso di file presenti su altri domini in sicurezza; come si metta il tutto al riparo da file di policy creati ad arte dagli hacker, però, non è ancora dato a sapersi.