Plusieurs failles de sécurité importantes ont été identifiées au sein de nombreux outils utilisés pour générer des animations Flash.

En effet, les logiciels Shockwave Flash (SWF)/Adobe Dreamweaver/Adobe Acrobat/Connect maintenant corrigés utilisaient des méthodes non sécurisées (asfunction) permettant d’appeler des arguments à la suite du chemin d’une animation Flash. Ainsi toutes les animations Flash générées avant Septembre 2007 avec ces outils pourraient potentiellement être exploitées afin d’insérer un code Javacript malicieux et mener une attaque XSS (vol de session, compromission d’un navigateur, keylogger...)

Quelques exemples d’exploitation XSS via des animations Flash générées avec les logiciels leader du marché : *Adobe Dreamweaver :

http://www.example.com/FLVPlayer_Progressive.swf?skinName=asfunction:getURL,javascript:alert(1)//

*Adobe Acrobat Connect :

http://www.example.com/main.swf?baseurl=asfunction:getURL,javascript:alert(1)//

Le risque principal pour les sites web hébergeant des animations Flash réside dans la possibilité offerte à un pirate de voler la session d’un client d’un client connecté au site web.

L’authentification des utilisateurs est généralement basée sur un système de cookie de session. Ainsi, pour se maintenir authentifié, l’utilisateur envoie simplement le cookie, qui lui a été fourni lors de sa première connexion, associé à chacune de ses requêtes sur l’application.

Le secret est donc contenu dans le cookie du domaine.
Un pirate désireux de nuire à un client souhaitera alors voler le cookie de session. L’attaque XSS des animations Flash permet alors de voler les cookies en incitant un utilisateur à cliquer sur un lien malicieux envoyé par email par le pirate.

Pour plus d’informations sur les attaques XSS, nous recommandons la lecture des articles suivants :

http://www.xmcopartners.com/article-vers-xss.html