XSS vulnerabilities in 8 millions flash files

– Date : 28 Decembre 2009

– Gravité : Très faible

– Exploitation : Avec un lien malicieux

– Dommage : Vol de session

– Description :

Un chercheur russe a récemment publié un article [1] sur une vulnérabilité de type Cross Site Scripting présente au sein de publicités sous forme d’animation Flash.

Le premier papier publié en 2008 [2], sur cette même vulnérabilité impactait à l’époque 215 000 sites internet. Ces recherches ont été mises à jour et indiquent à présent que plus de 8 millions de sites web seraient maintenant touchés par cette vulnérabilité.

Cette vulnérabilité provient du langage de programmation de Flash : ActionScript et plus précisément des bannières de publicités qui intègrent la récupération de paramètres via l’URL par la fonction suivante :

getURL(_root.url, "_blank") ;

ou

getURL(_root.clickTAG, "_blank") ;

Ainsi, un attaquant peut exploiter cette vulnérabilité en incitant une victime à cliquer sur un lien malicieusement formé et ainsi voler le cookie de session du site ou réaliser de nombreuses attaques, dont des attaques de phishing.

La preuve de concept se présente sous la forme :

http://site/flash.swf?clickTAG=javascript:alert(’XSS’)

ou encore

http://site/flash.swf?url=javascript:alert(’XSS’)

Cependant, suivant le paramètre de l’URL infectée, le vol de cookie n’est pas exploitable dans tous les navigateurs.

Ainsi, les bannières flash ayant la variable "target" initialisée à "blank_" ne permettront pas à l’attaquant de récupérer le cookie à partir des navigateurs : Internet Explorer, Mozilla et Google Chrome.

– Référence :

[1] http://websecurity.com.ua/3789/

[2] http://www.webappsec.org/lists/websecurity/archive/2008-11/msg00110.html

– Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=1261990378