UICIECHI.IT: OTTOBRE 2008 - Numero 10.
Adobe, per Flash 9 arriva la patch anti-clickjacking.
Scritto da Guido Sintoni.
Non solo nuove funzioni per tenere a distanza Silverlight 2 , ma anche un’importante miglioria per la sicurezza: l’ultima release di Adobe Flash Player, la 10, mette al riparo gli utenti dai rischi legati al clickjacking.
“Flash Player 10 - scrive David Lenoe sul blog di Adobe Product Security Incident Response Team - risolve del tutto gli aspetti legati a problemi di clickjacking […] e comprende ulteriori aggiornamenti legati alla sicurezza”. Tutto bene, quindi? Beh, quasi: “Per chi non può eseguire l’upgrade a Flash Player 10, un aggiornamento di Flash Player 9 è previsto all’inizio di novembre“. Insomma: pur con i necessari distinguo, il rischio si protrarrà per qualche tempo ancora, anche perché si tratta di correggere una vulnerabilità definita critica dalla stessa Adobe.
Da qualche settimana le tecniche di attacco legate al clickjacking sono alla ribalta: Flash non è il solo software che ne soffre, ma è probabilmente quello più facilmente sfruttabile in questo senso. Sono stati i ricercatori Robert Hansen e Jeremiah Grossman a sollevare il problema lo scorso settembre, evitando di rivelare ulteriori particolari perché Adobe si era appellata alla responsible disclosure , chiedendo tempo per preparare le correzioni.
Cosa che effettivamente è avvenuta: nel blog, Adobe non dimentica di ringraziare i due ricercatori. In un attacco basato su clickjacking, l’attaccante usa tecniche molteplici finalizzate alla presa di controllo della macchina: nella dimostrazione di Hansen e Grossman, un link maligno riesce a richiamare con successo un oggetto Flash che abilita alla trasmissione la webcam della vittima senza che questi se ne accorga. Per Hansen, “è pressoché impossibile per un utente stabilire cosa può succedere cliccando su un link maligno”.
“Il clickjacking riguarda principalmente i plug-in dei browser - ha concluso Hansen - e il miglior modo per affrontare il problema è cambiare il modo in cui questi ultimi funzionano. Chi realizza browser Web ha capito il problema e sta già cercando rimedi”. Che si possono tradurre in ulteriori plug-in per il controllo selettivo degli script: è il caso di NoScript per Firefox , il cui lancio risale a pochi giorni fa.
Guido Sintoni.