Se han reportado vulnerabilidades críticas en muchas de las herramientas web más populares que generan archivos Shockwave Flash (SWF), de forma automática, esto es Adobe, Dreamweaver, Adobe Acrobat, Connect (Macromedia Breeze), InfoSoft FusionCharts, y Techsmith Camtasia.

Los fallos hacen que los sitios web que albergan estos archivos SWF, sean vulnerables a ataques del tipo Cross-Site Scripting (XSS).

Este problema no se limita a las herramientas de autor, y un considerable porcentaje de sitios con archivos SWF actualmente expuestos en Internet son vulnerables. Muchos de esos, son sitios importantes.

Las vulnerabilidades están relacionadas con el uso de ActionScript, el lenguaje utilizado para el desarrollo de las herramientas de autor. ActionScript permite el desarrollo de interfaces de usuario y aplicaciones, y no solo animaciones con Flash.

Los archivos vulnerables pueden ser utilizados por atacantes para ejecutar código JavaScript malicioso en el ámbito del sitio web que hospede estos archivos.

Otras clases de ataques pueden ser posibles, ya que otros productos relacionados podrían también ser afectados con este problema. El uso de ciertos parámetros, puede forzar a las víctimas a descargar archivos y ejecutar protocolos sin su conocimiento.

Solo se han informado los detalles de aquellos productos que han sido actualizados por sus vendedores (los mencionados al comienzo). Pero mientras existan archivos SWF "inyectados" con código malicioso en una gran cantidad de sitios de Internet, el problema es considerado como importante.

Se recomienda a los usuarios, actualizar las versiones de sus reproductores y plugins de Flash (Flash Player, etc.), a las versiones más recientes.

Fuente

jjiker