Adobe zamyka krytyczną lukę we Flashu

W efekcie z poziomu witryny zawierającej spreparowany materiał Flash daje się odczytać informacje ze strony wyświetlanej w drugim oknie przeglądarki, a więc na przykład dane bankowe i tym podobne.

W normalnej sytuacji aplikacjom Flash wolno sięgać tylko do zasobów serwera, z którego zostały załadowane. Jednak w celu uelastycznienia wczytywania treści, począwszy od wersji 7 środowisko Flash zezwala na tzw. zgłoszenia Cross-Domain. W celu kontroli mechanizmu serwis WWW wywołany przez dany aplet Flash przekazuje plik crossdomain.xml. Zbiór ten definiuje, wobec których witryn zewnętrznych względnie serwerów, apletom flashowym wolno realizować tego rodzaju zapytania –. jednak Flash Player nie informuje o tym użytkownika.

Zazwyczaj wytyczne te są niezwykle restrykcyjne, toteż właściciele witryn wpisują na zastrzeżoną listę tylko domeny swoich partnerów i wybrane strony godne zaufania. Właśnie to ograniczenie pozwala ominąć wspomniana usterka –. z poziomu dowolnej strony zawierającej zmanipulowany materiał Flash można uzyskać dostęp do niedozwolonych obiektów w innych serwisach.

Użytkownicy powinni niezwłocznie zainstalować wydaną poprawkę Flash Playera.

Aktualizacja ta eliminuje też bliżej nieopisaną usterkę typu Denial of Service. Dopiero specjalne testy wykażą, czy przypadkiem nie chodzi tu o niezałataną od miesięcy lukę, za którą niedawno przepraszali przedstawiciele Adobe. W każdym razie producent zapowiedział jej naprawienie dopiero w następnym wydaniu głównym opatrzonym numerem 10.1.

Można już pobrać aktualizację Flash Playera dla systemów Windows, Mac OS X i GNU/Linux. Uaktualnienia mogą odbyć się też automatycznie, z wykorzystaniiem programowej funkcji aktualizacyjnej.

W przypadku poprawki dla środowiska AIR również przygotowano warianty dla systemu Windows, Mac OS-a X oraz GNU/Linuksa.