3 de diciembre de 2011

Flex Security Issue APSB11-25

Según este post: http://kb2.adobe.com/cps/915/cpsid_91544.html#products -gracias @chiguire por la info- casi todas las aplicaciones compiladas en Flex 3 son vulnerables a ataques cross-site scripting (XSS).

Casi toda aplicación compilada desde la versión 3.0 hasta la 3.6, es vulnerable a ataques de este tipo, también las apps 4.x que se les haya compilado las librerías de flex de manera estática . Lo que nunca he entendido es, cómo hace un atacante para poner código en tu sitio (mis disculpas por la ignorancia al respecto del tema). La vulnerabilidad no aplica a aplicaciones creadas con Adobe AIR, con Adobe Flash y tampoco para las apps Flash Builder 4.x que se haya compilado como RSL.

Para aquellos que no conocen la diferencia de la compilación estática y dinámica de las librerías de Flex, aquí les dejo este link, que habla del tema. http://livedocs.adobe.com/flex/3/html/help.html?content=rsl_02.html

Para solucionar el problema, Adobe ofrece dos opciones:


  1. Bajarte una aplicación AIR que verifica si tu aplicación es vulnerable y también permite crear un parche para tu app (http://kb2.adobe.com/cps/915/cpsid_91544/attachments/APSB11_25_Patch_Tool.air)
  2. Actualizar el SDK de tu Flex Builder y re compilar la aplicación.


Saludos, verifiquen sus apps.