Adobe actualiza su Flex open source por problema de seguridad XSS

24 Ago 2009 en Seguridad

Según US-CERT, se trata de una vulnerabilidad con la que un atacante podría realizar un ataque cross-site scripting. El anuncio se realizó el pasado viernes.
Adobe tiene ya una corrección disponible en su Flex 3.4 SDK, en donde también se incluye la última versión de Flash Player. Adobe había actualizado a Flash a finales de julio debido a una brecha crítica en su seguridad.
La nueva brecha es la que permite un ataque XSS (Cross Site Scritpting) a través de los templates express-install de Flex SDK. Se detectó una instancia de vulnerabilidad XSS basada en DOM (Document Object Management) en el archivo por defecto index.template.html del SDK. Se trata de un template usado por FlexBuilder para generar el empaquetador de HTML en todos los archivos de un desarrollo. La vulnerabilidad XSS parece afectar a todos los usuarios que descargan y utilizan este empaquetador HTML.
Flex es el framework open source de Adobe para la creación de aplicaciones Web RIA (Rich Internet Applications). La brecha no afecta a Flex 4 SDK, aún en versión beta y debido a que usa templates SWFObject  por defecto.
Además de los arreglos en Flash y PDF que se liberaron a finales de julio, Adobe actualizó las aplicaciones ColdFusion y JRun debido a una cantidad de vulnerabilidades.
Adobe, por el momento, parece haber desistido de su programa de liberación ordenada de patches el primer martes de cada mes. En cambio, ha tenido que ir liberando correcciones a medida que están disponibles. Esta forma de respuesta, si bien no tan organizada como la de un lote mensual, demuestra gran responsabilidad de parte de Adobe frente a la realidad. Y esa realidad, para el usuario, equivale a decir que le conviene ir acostumbrándose a realizar actualizaciones en forma continua. Las brechas seguirán apareciendo en casi todos los productos de software y especialmente en los que operan en ambientes Web.