Escaneo de puertos mediante ficheros Flash

by | Ago 14, 2007 | Noticias, Profesional | 0 comments

Cualquier película Flash (una inocente animación, una demo de un programa, un banner, la cabecera animada de un sitio web…) es capaz de escanear los puertos TCP abiertos en tu máquina.

“Ah, bueno, pero yo tengo un cortafuegos que me aisla del exterior…”

Pues lo siento, pero sigues siendo vulnerable. Los puertos analizados son los del propio host donde se visualiza la peliculita. Es decir, que aunque estés usando NAT y salgas a Internet con la IP que sea, se puede escanear tu localhost 127.0.0.1…

La causa: una fallo de diseño en el manejo de sockets en ActionScript 3, que permite saltarse el modelo de seguridad sandbox de Flash.

Sistemas afectados: según el descubridor, se ha comprobado con Flash Player 9 en Windows XP SP2 (con Explorer y Firefox), en Mac OS X 10.4 (con Safari y Firefox), en Ubuntu y Solaris 10 (con Firefox). Yo mismo lo he comprobado también en Arch Linux con Firefox y Epiphany. Una vez más, parece que Opera se salva. Tampoco me ha funcionado la demo con Konqueror ni con máquinas virtuales.

Solución: mientras Adobe no saque ninguna solución sólo cabe deshabilitar Flash o permitir Flash sólo a sitios fiables. También se puede prevenir con NoScript y desinstalando Flash Player 9 y volviendo a la versión 8.

La misma página que informa del bug incluye la demostración, que requiere habilitar Javascript y Flash.

No estaría mal que hicieráis vuestras propias pruebas y posteárais los resultados aquí.

Enlaces relacionados:

Design flaw in AS3 socket handling allows port probing
http://scan.flashsec.org/

Fuente: http://www.kriptopolis.org/escaneao-de-puertos-mediante-flash

GRATIS – Plan de cyberseguridad para su empresa: Aquí

Obtenga nuestro portfolio de servicios: Aquí

Suscríbase a nuestro Newsletter: Aquí

Realiza su consulta cómo proteger su Negocio: Aquí

Informe a sus colegas del area de tecnología

Comparte esta información con colegas y superiores

Guarda este post para consultas

Descargue las Tendencias de cyberseguridad: Aquí

Suscribirse a nuestro canal de YouTube: Aquí

Descargue nuestras infografías: Aquí

Conozca la opinión de nuestros clientes: Aquí

Acceda a Cursos Online de entrenamiento en seguridad informática: Aquí