Vulnérabilités de scriptage entre sites dans des applications SWF générées par différents outils de création Shockwave Flash

IN08-001
Date : 04 janvier 2008

Objet

Cette note d'information a pour objet d'attirer votre attention sur des vulnérabilités de scriptage entre sites (XSS) créées par différents outils de création Shockwave Flash (SWF). Les fichiers SWF créés par les applications touchées et hébergées actuellement par différentes organisations restent vulnérables jusqu'à ce qu'elles aient été supprimées ou corrigées.

Évaluation

Renseignements généraux

Le 19 décembre 2007, le CCRIC a diffusé l'avis AV07-109, portant sur un correctif diffusé par la société Adobe pour éliminer de multiples vulnérabilités dans Adobe Flash Player. Une des vulnérabilités visait un exploit de scriptage entre sites et, depuis notre rapport initial, d'autres informations sur la nature de cette menace ont été rendues publiques.

De nouveaux rapports sur ces vulnérabilités indiquent qu'un grand nombre de sites Web pourraient héberger des fichiers .SWF vulnérables, dans le secteur privé et dans le secteur public. Les fournisseurs des outils de création touchés ont été informés du problème et des versions à jour ont été développées pour les applications visées.

Analyse

Un chercheur dans le domaine de la sécurité a découvert que des vulnérabilités de scriptage entre sites sont insérées dans les fichiers .SWF créés par plusieurs outils de création Flash. Les outils de création génèrent du code ActionScript, un langage de scriptage appartenant à la société Adobe, qui est surtout utilisé pour contrôler des animations de base. ActionScript est maintenant utilisé dans de nombreuses applications Internet basées sur la technologie Flash associées avec la diffusion de média en continu.

On sait que les outils de création suivants sont touchés :

• Adobe Dreamweaver
• Adobe Acrobat Connect
• InfoSoft FusionCharts
• Techsmith Camtasia

Cette liste n'est pas exhaustive et les organisations doivent savoir que n'importe quelle application ou n'importe quel outil capable de générer, d'exporter ou d'héberger des fichiers Flash peut être touché par cette vulnérabilité.

Détection

Le CCRIC recommande aux administrateurs de sites Web de faire des recherches dans leurs sites Web pour y déceler la présence de fichiers .SWF, puis de demander aux auteurs de vérifier si ces fichiers ont été créés à l'aide d'un outil de création touché. Si le contenu a été développé à l'extérieur de l'organisation, on recommande fortement aux administrateurs responsables du développement des sites Web de communiquer avec leurs fournisseurs pour déterminer si les sites pourraient être touchés. Si le lecteur n'est pas sûr que son site Web contient des fichiers Flash, il peut utiliser les méthodes de détection suivantes :

1. Recherches dans un hôte :
   L'organisation devrait faire des recherches dans ses serveurs Web (le cas échéant) à l'aide de Windows et de Unix pour trouver des fichiers ayant l'extension « .SWF ».
2. Recherches dans Internet
   L'organisation peut utiliser des outils de recherche Web courants, comme Google, pour trouver les fichiers .SWF et les versions touchées. La liste ci-dessous contient des critères de recherche possibles :
   • Les critères de recherche « site:sp.gc.ca » et « filetype:swf » permettent de trouver des fichiers de type SWF et de l'information sur Sécurité publique. Les organisations doivent modifier leurs critères de recherche pour correspondre à leur propre domaine (p. ex. : «  site:gov.on.ca » et « filetype:swf » permettent de trouver des fichiers Flash dans le domaine du gouvernement provincial de l'Ontario) : un exemple de recherche de critères « site:sp.gc.ca » et « filetype:swf »
   • Les organisations peuvent préciser leurs recherches en y ajoutant des attributs de fichiers .SWF que l'on trouve couramment dans les versions touchées :
     • Adobe Dreamweaver : inclure « FLVPlayer_Progressive.swf»
     • Adobe Connect/Macromedia Breeze : «  powered by macromedia breeze »
     • Adobe Connect/Macromedia Breeze : « main.swf » (Note : ce critère ne vise pas exclusivement les produits Adobe)
   • Vous devriez pouvoir obtenir d'autres caractéristiques de fichiers propres à votre outil de création en communiquant avec le fournisseur de ce dernier.

Répercussions

Les sites Web qui contiennent des applications SWF vulnérables sont susceptibles à des attaques de scriptage entre sites et ils peuvent être utilisés comme accessoires pour attaquer des utilisateurs en ligne sans méfiance. D'autres activités malicieuses sont aussi possibles, comme la manipulation et la compromission de comptes d'utilisateurs, l'exploitation de navigateurs et le vol de session.

Mesure suggérée

Si des versions vulnérables des outils de création Web ont été utilisées pour générer du contenu Flash, on conseille aux administrateurs de prendre les mesures suivantes :

• Supprimer immédiatement tous les fichiers .SWF touchés.
• Reconstruire et redéployer les fichiers .SWF touchés au besoin.
• Consulter le fournisseur pour obtenir de l'information précise sur les mesures d'atténuation à prendre pour leur produit.

Le CCRIC dispose de la liste suivante de fournisseurs touchés :

• Adobe – avis de sécurité : (en anglais)
• Avis du CCRIC n^o AV07-109
• Techsmith – procédez à une mise à jour en installant Camtasia Studio version 5
• Autodemo – communiquez avec le fournisseur : controlsupdate@autodemo.com
• Infosoft – communiquez avec le fournisseur (en anglais)

Note : Outil SWFIntruder – Le CCRIC a appris l'existence d'un outil à source ouverte appelé SWFIntruder qui a été conçu spécialement pour déterminer la sécurité des applications Flash. On peut obtenir de plus amples informations sur l'utilisation de cet outil (en anglais).

D'autres fournisseurs peuvent aussi être touchés par cette vulnérabilité. Par conséquent, le CCRIC recommande aux organisations de sensibiliser les programmeurs qui utilisent la technologie Flash aux pratiques de programmation exemplaires en ce qui a trait aux procédures de protection contre les attaques de type XSS.

Information additionnelle : (en anglais)

• Google docs: XSS Vulnerabilities in Common Shockwave Flash Files (en anglais)
• Hacking Exposed Web 2.0 (en anglais)
• Adobe.com: Creating more secure SWF web applications (en anglais)
• US-CERT: Flash authoring tools create Flash files that contain cross-site scripting vulnerabilities (en anglais)
• www.theregister.co.uk (en anglais)

Note aux lecteurs

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.

Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:

Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca