Orange Business Services
Vigil@nce Vigil@nce Vigil@nce
nous veillons pour votre sécurité depuis 1999
 accueil présentation vulnérabilités documentation contact  
espace abonné espace abonné
accès gratuit accès gratuit
Vigil@nce décrit les vulnérabilités informatiques qui affectent vos systèmes, et propose les solutions pour y remédier.
vulnérabilités récentes vulnérabilités récentes
produits suivis produits suivis
fil RSS fil RSS
vulnérabilité

vulnérabilité 9495

Adobe Flash : lecture de fichiers

Synthèse de la vulnérabilité

Un attaquant peut créer une application Flash illicite, qui indique des fragments de fichiers à un partage CIFS/SMB.
Gravité : 2/4.
Date création : 04/03/2010.

Description de la vulnérabilité

Une application Flash peut être conçue selon deux modes :
 - "Access local files only" : pas d'accès réseau (excepté un serveur CIFS du même réseau local)
 - "Access network only" : pas d'accès local
Ainsi, une application ne peut pas transférer des données de la machine utilisateur vers internet.

En mode "local files only", l'application peut employer la classe URLLoader pour lire un fichier local, ou un fichier présent sur un partage CIFS/SMB.

Une application peut donc employer URLLoader pour lire un fichier situé sur la machine de la victime. Ce fichier contient par exemple "bonjour". L'application peut ensuite essayer de lire "\\1.2.3.4\public\bonjour", où "1.2.3.4" est un serveur CIFS de l'attaquant. Le fichier "bonjour" n'existe pas sur le partage CIFS, ce qui provoque une erreur qui est journalisée.

L'attaquant peut alors consulter les logs de son serveur CIFS, pour obtenir des fragments de données ("bonjour") provenant des fichiers de la machine de la victime.

Un attaquant peut donc créer une application Flash illicite, qui indique des fragments de fichiers à un partage CIFS/SMB.

Bulletin Vigil@nce complet

Accès au bulletin Vigil@nce complet

Caractéristiques

Titre : Adobe Flash : lecture de fichiers.
Mots clés : Access Adobe CIFS Flash SMB URLLoader fichiers lecture.
Références : BID-38517, VIGILANCE-VUL-9495.

Sources d'information

Publications et annonces
Exemple de source : Flash+IE = Prison Break - Stealing Local Files through the Flash Plugin in IE

Compléments

Démonstrateur

Outil d'attaque ou exploit 0day

Service de veille sur les vulnérabilités informatiques

Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Base de vulnérabilités informatiques



















France Télécom Copyright 1999-2010 Vigil@nce. Vigil@nce est proposé par Orange Business Services. Plan du site. Mention légale. English version