Tras las recientes actualizaciones de Adobe de los últimos días, la compañía ha publicado una actualización para Analytics AppMeasurement para librería Flash que podría permitir la construcción de ataques de cross-site scripting basado en DOM.
El problema fue reportado por el
investigador Randy Westergren (@RandyWestergren)
que ha confirmado que en un par de semanas publicará
los detalles técnicos.
Technical write-up to
follow in a couple weeks. https://t.co/MRTXAi5DuB
— Randy Westergren
(@RandyWestergren) 21 de abril de 2016
Detalle de la
actualización
- En el boletín de
seguridad APSB16-13 de Adobe se recoge una actualización, calificada como
importante, para Adobe Analytics AppMeasurement para librería Flash
versión 4.0 (y anteriores). Los desarrolladores pueden añadir este
componente a los proyectos para registrar cuanta gente usa la aplicación
Flash y lo que hace.
- El problema solo
afecta a AppMeasurement para Flash cuando esté activa la opción
"debugTracking" (en la configuración por defecto está
desactivada).
- La
vulnerabilidad (con CVE-2016-1036), de la que no se han facilitado
detalles, podría permitir a un atacante construir ataques de cross-site
scripting basados en DOM. En los ataques XSS basados en DOM se modifica el
entorno DOM en el navegador de la víctima. Esto es, la página en sí (la
respuesta http) no cambia (como ocurre en los XSS tradicionales), pero el
código contenido en la página en el lado del cliente se ejecuta de forma
diferente debido a las modificaciones realizadas por el ataque en el
entorno DOM.
Recomendación
- Adobe ha
publicado Analytics AppMeasurement para librería Flash 4.0.1. El problema
debe ser corregido por los desarrolladores, que deberán reconstruir los
proyectos con la librería actualizada, disponible para descarga desde la
consola Analytics.
Más información:
- Security update available for the Adobe Analytics
AppMeasurement for Flash Library https://helpx.adobe.com/security/products/analytics/apsb16-13.html
- DOM Based XSS https://www.owasp.org/index.php/DOM_Based_XSS