Solución a Clickjacking en Flash

Solución a Clickjacking en Flash

Hace poco nos hacíamos eco de la última y más inquietante amenaza de seguridad para los navegadores de Internet: el Clickjacking. Adobe, una de las más afectadas con su Flash, ya ha publicado una solución. De hecho fue esta compañía la que pidió a los descubridores de esta vulnerabilidad que no revelaran detalles de la misma. Ahora quizás se puedan saber más cosas de un fenómeno del que se especula mucho y se sabe muy poco.

Tal y como contamos con detalle en un artículo anterior, hace unos días Adobe pedía a Jeremiah Grossman y Robert Hansen que no revelaran detalles sobre una inquietante vulnerabilidad llamda Clickjacking en la conferencia de seguridad OWASP y se especuló que la razon era que el Flash Player fuera una de las aplicaciones más afectadas. Ahora hemos visto como Adobe ha puesto a disposición del público sin demasiados aspavientos un parche para prevenir este problema. Esperamos que esto signifique que Grossman y Hansen tenga ya vía libre para dar más detalles del Clickjacking, aunque la solución no es ni mucho menos definitiva y no pasa de un retoque en la configuración que no sabemos hasta qué punto podrá ser eficaz.

El parche se aplica para Adobe Flash Player 9.0.12.0 o más antiguos y disponible para todas las plataformas. Según podemos leer en la página web donde se ha alojado el documento, Adobe sigue trabajando para solucionar de forma más completa el problema en una nueva actualización de Flash que fechan para finales de octubre y nos remiten al boletín de seguridad de Adobe para más detalles. En realidad el proceso recomendado por la empresa consiste simplemente en activar la denegación por defecto en cualquier diálogo que pudiera Flash presentar al usuario, para que el Clickjacking no pueda enmascarar la confirmación de una operación no deseada pero oculta. El problema es que de esta forma no es posible permitir a Flash el acceso al micrófono o la webcam a menos que se acceda a las opciones de privacidad de Flash. Realmente una solución muy de emergencia y poco sofisicada. En la página Adobe clasifica la amenaza como crítica y agradece, una vez más, la colaboración de Hansen y Grossman.

  • Share This