[ничего_не_поделаешь],[хабракопипаста]

Кто бы сомневался что flash решето.

РЕШЕТО!

А если юзать gnash та же фигня?

Не понял сути бага.
Алсо, PoC в паблике есть?

вот блин, не приятно это

то есть я могу загрузить скрипт вместо моей аватары и .. ?

Ничего не поделаешь..

Ничего не понял.
Криворукий быдлокодер не осиливает сделать проверку загружаемых данных на соответствие чему-то, так что вместо картинки может оказаться скрипт, и... ?
Как можно не работать с Flash, но иметь уязвимость с загрузкой через Flash?
Они там накурились штоле?

1. загрузить *.bat скрипт
2. убить мою винду
3. ?????
4. PROFIT!!!

кулхацкерски.

отрубил пока upload в wiki, т.к. она не позволяет ни запретить flash, ни отдавать upload'ы с отдельного домена

Как можно не работать с Flash, но иметь уязвимость с загрузкой через Flash?

не с загрузкой через флэш, а загрузкой флэша, через уязвимость в котором можно поиметь профит. например, ставим аватаркой флэшку и грабим корованыsession ID / cookie.

надо jamwiki минимум 0.7.0, у нас старее

>ставим аватаркой флэшку
tell me more

Ну и что? Опять всё будет только в винде.

> ставим аватаркой флэшку

Тогда это проблемы не быдлокодера-флешера, а быдловебокодера, ибо не удосуживается проверить, картинку ему заливают или флэшку.
Когда я прочёл про "уязвимость в Adobe Flash", я понял, что она основана на загрузке чего-то через флэш-интерфейс.
Если вместо аватарки загрузить js-сценарий, который умеет работать с куками и адресной строкой, а на страницу он вставится не как картинка, а как сценарий, разве это будет тогда уязвимость в js?

вот здесь посмотри, там вполне подробно написано -

http://www.foregroundsecurity.com/MyBlog/flash-origin-policy-issues.html

Отключай флэш-баннеры на лоре.

Ну загрузишь ты сценарий вместо аватарки, а кто его выполнять будет?
<img src='1.js'> врят ли выполнит этот сценарий (про флеш не уверен, надо проверить)

То то у меня в rss lor-wiki появлялась запись что в вики загружен linuxorgru.swf так вроде называлось.

> <img src='1.js'> врят ли выполнит этот сценарий

> а на страницу он вставится не как картинка, а как сценарий

Ясно же, что нормальные люди сценарии вставляют не картинкой.

Мы изначально про аватары говорили

Я идеализировал ситуацию, наделив быдловебокодера умением сделать такую страницу, которая сгенерит правильную разметку относительно её содержимого. <img> с флешем не дружит, да.

> http://www.foregroundsecurity.com/MyBlog/flash-origin-policy-issues.html

OMG!
Спасибо.

>отрубил пока upload в wiki

пользую Dokuwiki а там есть такая няшка:

"Check uploaded files for possibly malicious JavaScript or HTML code"

Как метко насра^Wзамечено первым же комментатором статьи - использование в описании уязвимости флеша видеовставки на флеше, это как минимум злая ирония.

бога ради, реквестирую КО, что таки позволяет эта уязвимость сделать? И не требуется ли ей особое положение луны в знаках зодиака и температура воздуха на Марсе для приведения в действие эксплойта?

Представим, есть сайт vasya.ru с несколькими тысячами пользователей. Сайт vasya.ru в том числе позволяет юзерам хранить файлы произвольного типа.

Находится некий Петя, который регается на сайте vasya.ru и заливает туда хитрую флешку. После чего создаёт сайт petya.narod.ru, размещает там что-нибудь толстое (типа vista.nsk.ru) и ставит туда ссылку на свою хитрую флешку на vasya.ru.

Поскольку особенности флеша состоят в том, что он имеет доступ к cookie того домена, на котором он выложен, а не того, который на него ссылается (в чём собственно и состоит уязвимость), Петя получает возможность смотреть cookie домена vasya.ru. Вот теперь можно и грабить корованы

баннеры как раз тут не причем - они грузятся не с нашего сервера. Принципиален тут источник swf, а не страничка на которой размещен код включения

это я потестил, другого флеша под рукой небыло

такая страничка не обязательно должна быть на ломаемом сайте - она может быть где угодно, но грузить swf с сайта

Новость радует, теперь будут задумываться, перед тем, как флеш использовать =)

>Находится некий Петя, который регается на сайте vasya.ru и заливает туда хитрую флешку. После чего создаёт сайт petya.narod.ru, размещает там что-нибудь толстое (типа vista.nsk.ru) и ставит туда ссылку на свою хитрую флешку на vasya.ru.
Т.е. для утечки кукисов надо ещё пользователя на свой сайт заманить?
А не проще ли в заливаемой на сайт vasya.ru флешке воткнуть передачу кукисов на свой сайт? Чтобы когда пользователь увидит эту флешку на сайте vasya.ru - его кукисы уже сразу утекли. И не надо никакого хитрого отдельного сайтика.

если я правильно понимаю, на сайт vasya.ru можно залить swf замаскирвоанный под картинку, т.е. на самом vasya.ru его нельзя исполнить, а через <object embed.. > на левом сайте можно

Всё, дошло. Спасибо.

P.S. Да, спать надо больше...

Можно ли сделать то же самое в сильверлайте?

а вообще у меня закрадывается подозрение, что это всё фейк. Кто то может подтвердить, что куки можно прочитать с того домена, где лежит ролик?

А я в Конкероре включил Load plugins on demand only, и всё у меня стало хорошо.

Не совсем понятно, насколько реально слепить бинарник, который без учета экстеншена будет одновременно валидным flash и валидным zip/gif/jpg

А если хотлинкинг запретить, это решит проблему? Когда ссылаются из своего домена, можно отдавать файл напрямую. А когда с чужого - обламывать либо выдавать страницу "нажмите сцылко для загрузки".

Тогда вроде на чужом домене через embed просто так будет файл в страницу не воткнуть.

Конец Web?