Новую систему безопасности Adobe Flash успешно взломали

Билли Риос, технический специалист Google, опубликовал в своем блоге запись, в которой утверждает, что смог найти способ обойти систему безопасности, имеющуюся в новой версии Adobe Flash Player. Напомню, что принцип новой системы защиты Flash Player базируется на использовании локальной файловой "песочницы". Ее задача - изначально предотвратить доступ Flash-файлов ко всякой информации, расположенной за пределами изолированного сегмента памяти ПК.
 

Билли Риос утверждает, что нашел способ обойти "песочницу", в которой должны находиться SWF-файлы. Исследуя систему безопасности Adobe Flash Player, Риос выяснил, что меры безопасности можно обойти посредством запроса вида file:// и использования протокола GET для обращения к удаленный адресам, например file://\\192.168.1.1. Приведенный Риосом пример работает в локальных сетях. Для выхода во внешние сети нужно указывать конкретный IP-адрес, который не должен быть заблокирован межсетевым экраном на компьютере.
 

Однако в компании Adobe на открытие Билли Риоса отреагировали достаточно спокойно, а саму уязвимость охарактеризовали как "умеренную". Дело в том, что просто запустить вредоносный файл двойным кликом не получится. Для проведения атаки злоумышленник сперва должен получить доступ к локальной файловой системе пользователя и разместить в ней файл. И уже после этого приложение должно к нему обратиться.