Специалист WikiLeaks сообщает о новой уязвимости Flash-библиотеки

047 Франсиско Алонсо, исследователь и аудитор по безопасности, сообщил о двух серьёзных XSS уязвимостях, которые находятся в ядре открытых Flash-библиотек. На портале WikiLeaks, который славится огромным количеством раскрытых фактов и исследований о деятельности правительства, данная библиотека используется при открытии файлов формата PDF. Об уязвимости Flash было известно и ранее, но новая брешь может использоваться не только в рамках проекта WikiLeaks и внутреннего движка сайта. Этих уязвимостей достаточно для того, чтобы произвести массовую деанонимизацию пользователей Tor.

На данный момент эта сеть считается наиболее надёжной для сокрытия следов своего пребывания в Интернете. Браузер и система прокси-серверов, вкупе с мощным шифрованием, остаётся единственным вариантом для большинства пользователей. Злоумышленники потенциально могут производить перенаправление ссылок с внешнего контента, что поставит под угрозу целостность структуры WikiLeaks, подорвёт доверие со стороны пользователей, а может и вовсе раскроет сайт для массовых атак извне. Попытки деанонимизации Tor предпринимаются регулярно, в том числе и со стороны государственных структур разных стран мира. Особенно из США.

Франсиско Алонсо считает, что WikiLeaks следует давать прямые ссылки на файлы, а не использовать стороннее программное обеспечение, ввиду угрозы для пользователей. Поскольку модули для чтения PDF сейчас встречаются практически на всех сайтах, быть уверенным в безопасности здесь трудно. Порталом WikiLeaks с момент его основания используется библиотека FlexPaper, которая является открытой и свободной для распространения файлов. Однако были обнаружены уязвимости по XSS и наличие вероятности подмены данных сторонним содержимым. Разработчики популярной библиотеки о проблеме прекрасно знают, поэтому обновление безопасности уже было выпущено.