أدوبي تدق ناقوس الخطر من ثغرة أمنية خطيرة في مشغل فلاش
بعد أيام معدودة من دمجها مشغل الفلاش ماكروميديا في مجموعتها التقنية، حذرت شركة أدوبي من ثغرة أمنية في غاية الخطورة. وحثت كل مستخدمي مشغلات فلاش بتثبت التحديث للحيلولة دون تعرضهم لهجمة رفض الخدمة شرسة.
وتنال هذه الثغرة من ميزة تقديم خدمات التطبيقات المستندة إلى الويب عبر الفلاش أو ما يعرف باسم فلاش عن بعد. وعلى الرغم من عدم اكتشاف الثغرة نفسها، وجد مهندسو أدوبي شكلاً من أوامر الفلاش عن بعد المرسلة إلى سيرفرات كولدفيوشن (وهي تقنية ماكروميديا أخرى اشترتها) مما يؤدي إلى عملية متكررة لا تنتهي ولا تتوقف من تلقاء ذاتها. ومن ثم وفي ظل عدم قدرة السيرفر على الرجوع إلى برنامج التحكم الخاص به، يستطيع أي هاكر شن هجمة فيروسية على الجهاز.
ولقد أقر الجزء التقني من نشرة أدوبي الأمنية https://www.adobe.com/support/security/bulletins/apsb06-11.html أن بعض قوالب لغة ColdFusion Markup – التي تعمل خارج المنطقة المحمية لتطبيقات المستخدم (Sandbox) – بإمكانها إجراء اتصالات عن بعد على مكونات ColdFusion الموجودة في نطاق منطقة Sanbox. علمًا بأنه إذا كان هذا الاتصال في وجهة واحدة ولا يستهدف تشغيل أي نتيجة، فعندئذ فقد تكون منطقة Sandbox آمنة. وبالطبع، هذا ليس ما يحدث على أرض الواقع على الرغم من أن نشرة أدوبي الأمنية لا تقدم أي تفاصيل إضافية.
ولقد صرحت شركة أدوبي أنه حتى يتسنى للهاكر استغلال هذه الثغرة الأمنية يلزم تحميل مكون SWF فلاش خطير في مشغل الفلاش عبر متصفح الويب. وحتى وقتنا الحالي، لا يوجد هذا المكون حتى الآن، ولكن يعتبر العديد من خبراء مثل هذه النشرات الأمنية بمثابة بدء العد التنازلي لسلسلة من الهجمات الفيروسية.
