Adobe está trabajando en una actualización de su software Flash Player que resolverá una vulnerabilidad ampliamente difundida encontrada en cientos de miles de sitios Web.
La falla, reportada primero en diciembre por el investigador de Google Rich Cannings, le permite a los atacantes usar los archivos problemáticos Shockwave Flash (.swf) con el fin de atacar a los navegantes en la Web. Usando lo que se conoce como un ataque cross-site scripting, los criminales podrían crear páginas falsas para hacer phishing o, mucho peor, obtener acceso a sesiones bancarias en línea o cuentas Web de víctimas en algunas situaciones.
Después de que Cannings publicara sus hallazgos, Adobe y otros proveedores de software arreglaron sus herramientas de desarrollo con lo que no se crearía la vulnerabilidad en archivos Flash, pero todavía hay más de 500.000 de estos archivos colocados en diferentes sitios en el Internet, de acuerdo con Cannings.
En vista de la cantidad de trabajo que tomaría limpiar el problema, Cannings ha estado persuadiendo a Adobe para que haga cambios al software Player que anularía esos ataques cross-site scripting.
El arreglo está siendo desarrollado y estará disponible “pronto”, dijo el vocero de Adobe, Matt Rozen en un mensaje de correo electrónico.
Los expertos en seguridad dicen que el principal problema de Adobe ahora es encontrar una forma de arreglar esta falla sin tener que forzar a los usuarios a ver archivos en versiones anteriores de Flash.
En una entrevista el viernes, Cannings dijo que algunas de las propuestas iniciales de Adobe para este problema habían “roto” los archivos existentes en Flash en el reproductor, pero una solución satisfactoria era técnicamente posible. Si Adobe pudiera convencer a los usuarios de los navegadores a hacer algunos cambios también, simplificaría las cosas, añadió.
Tres meses después de el problema se hiciera público, Cannings estima que más de 10.000 sitios Web siguen siendo vulnerables al ataque.
-Por Robert McMillan
IDG News Service
VANCOUVER