Una patch di sicurezza per il Flex SDK è ora disponibile per risolvere una vulnerabilità cross-site scripting (XSS) in molte applicazioni Flex. Queste applicazioni devono essere patchate per proteggere i dati dell'utente. È possibile rivedere il bollettino per determinare quale applicazioni sono a rischio e ottenere le istruzioni su come patcharle. Tutte le applicazioni web-based Flex (non AIR-based) realizzate con qualsiasi versione di Flex 3.x (comprese 3.0, 3.0.1, 3.1, 3.2, 3.3, 3.4, 3.4.1, 3.5, 3,5 A e 3,6) sono vulnerabili.
Le applicazioni Web-based Flex (non AIR-based) realizzate con qualsiasi versione di Flex 4.x (compresa 4.0, 4.1, 4.5 e 4.5.1), che sono state compilate utilizzando il collegamento statico delle librerie di Flex, piuttosto che il collegamento RSL (runtime shared library) sono vulnerabili, tranne in alcuni casi che implicano l'uso di font incorporati. La maggior parte delle applicazioni 4.x Flex che sono state compilate in modo predefinito (in particolare, utilizzando il collegamento RSL) non saranno vulnerabili, ma ci sono rari casi in cui possono essere vulnerabili.
Le applicazioni Flex che sono costruite utilizzando qualsiasi versione di Flex precedenti alla 3.0 non sono vulnerabili. Le applicazioni Flex che sono AIR-based (non web-based) non sono vulnerabili. I file SWF che sono stati creati senza l'utilizzo di Flex (come i file creati in Adobe Flash Professional) non sono vulnerabili. Un modo semplice e veloce per riparare il file SWF dell'applicazione potrebbe essere quello di installare ed eseguire il file SWF dello strumento di patching fornito APSB11_25_Patch_Tool.air, che andrà a sostituire il file SWF dell'applicazione.
Questo produce un file di patch ma per il resto SWF indentici, che dovrebbero essere scambiati per sostituire il file SWF originale sul sito della distribuzione. Per utilizzare il file SWF-patching tool assicurarsi di avere il runtime Adobe AIR installato. Se non lo si ha, scaricarlo e installarlo da http://get.adobe.com/air/. Se si hanno domande sul bollettino della sicurezza, si può inviare una mail a PSIRT@adobe.com.
Via: Adobe Blog
Nessun commento:
Posta un commento