Adobe已在其Flex软件开发工具包中修复了一个安全漏洞,该安全漏洞可能会导致在使用SDK开发的应用程序中出现跨站点脚本漏洞。Adobe在11月30日发布的公告中说,该错误使攻击者可以对使用易受攻击的版本的Flex SDK构建的应用程序发起跨站点脚本攻击。可以在Windows的Flex SDK中找到该漏洞。 Adobe表示,它是Macintosh和Linux操作系统,版本为3.6及以下以及4.5.1及以下。最新版本是Flex SDK 4.6。
Flex SDK是Adobe的免费开放源代码应用程序框架,使开发人员可以轻松地在各种设备和平台上编写应用程序。Flex可以与其他工具结合使用,以为Web和移动平台构建应用程序,例如Apple的iOS,Google的Android和Motion的BlackBerry的Research。
“ Adobe建议使用Adobe Flex SDK 4.5.1和更低版本4.x的用户,以及Adobe Flex SDK 3.6和更低版本3.x的用户更新其软件,并验证其应用程序中是否有任何(Shockwave-Flash)SWF文件容易受到攻击,并使用提供的说明和工具更新所有易受攻击的SWF文件。”
Adobe将漏洞评为重要。根据该公司的严重性分级系统,具有该等级的缺陷(如果被利用)将损害数据安全性,并可能允许访问机密数据或劫持计算机的处理资源。
该通报随附的技术说明提供了有关如何检查应用程序是否具有易受攻击的SWF文件的说明。从通报中可以看出,漏洞存在于使用易受攻击的SDK版本构建的基于Web的应用程序中。基于Adobe AIR的应用程序似乎不受影响。
如果应用程序容易受到攻击,则开发人员可以下载并运行修补工具,以修复代码以弥合跨站点脚本缺陷,或者修补Flex并重建应用程序和所有库,以将易受攻击的SWF版本替换为无漏洞的SWF版本。
修补工具需要先安装Adobe AIR运行时,然后才能运行,并且仅适用于Windows和Mac OS X系统。据Adobe称,Linux上的开发人员应该找到Windows或Macintosh系统来运行该工具,或者完全跳过修补过程,而只是更新Flex并重建所有受影响的应用程序。
Adobe在技术说明中写道:“大多数应用程序不会从该修复程序中产生任何不利影响。” 但是,如果应用程序使用ModuleLoader从应用此修复程序的不同域中加载模块,则可能导致这些模块不再加载。可以通过在应用程序中指定trustContent或SecurityDomain参数来修复它。
尽管运行修补工具足以弥补单个应用程序中的漏洞,但后续的应用程序重建和新应用程序仍将容易受到跨站点脚本漏洞的攻击。可以将修补工具用作快速步骤,但仍应更新SDK,以防止问题再次发生。
Adobe表示,如果更新Flex SDK“花费大量时间才能完成”,则该修补工具可以用作“权宜之计”,并在时间允许的情况下完成完整的更新。
