Flash خطری برای سایت ها و کاربران

با سوءاستفاده از یک حفره امنیتی در نرم افزار Flash می توان تقریباً به تمام سایت های اینترنتی که امکان ارسال (Upload) فایل به آنها وجود دارد، نفوذ کرده و سپس از این طریق هر کاربری را که از این سایت ها بازدید می کند، مورد حمله قرار داد.
این حفره امنیتی در بخش ActionScript نرم افزار Flash وجود دارد. تنها کافی است که فایل حاوی یک Flash Object دستکاری شده با استفاده از امکانات ارسال فایل به یک سایت، بر روی آن سایت قرار گیرد. پس از آن می توان فایل Flash مخرب را در محدوده همان دامنه (Domain) به اجرا درآورد. کاربرانی که به اینگونه سایت ها مراجعه می کنند و در اثر هرگونه فعالیت آنها بر روی سایت، این فایل های مخرب Flash به اجرا در می آیند، در معرض خطر حمله و نفوذ قرار می گیرند.
بر اساس سیاست تعریف شده در Flash Objectها، فعالیت این نوع برنامه های Flash محدود به دامنه ای می شود که از آن دامنه منشأ و سرچشمه می گیرند. لذا در صورتیکه فایل مخرب از یک دامنه به یک سایت ارسال شود ولی آن سایت، آن فایل را از طریق دامنه دیگری در دسترس کاربران قراردهد، مشکلی پیش نخواهد آمد ولی تقریباً هیچ سایت اینترنتی اینکار را نمی کند، مگر به دلیل عملکرد بهینه سایت مانند You Tube.
شرکت Adobe که صاحب فناوری Flash است، امکان رفع این مشکل را غیرممکن دانسته و این رفتار Flash Object را بخشی از ماهیت اینگونه برنامه ها می داند. در عوض، این شرکت اقدام به ارائه آموزش های لازم برای جلوگیری از سوءاستفاده از این قابلیت Flash کرده است.
در حال حاضر هیچگونه حرکتی که نشان دهنده سوءاستفاده عمومی و گسترده از این حفره امنیتی باشد، مشاهده نشده است ولی یقیناً باید انتظار ظهور تهدیدات مرتبط با این حفره ها را در آینده نزدیک داشت.
کاربران می توانند استفاده از Flash را متوقف کنند که البته اینکار شاید برای بسیاری غیرممکن باشد. ولی شاید بتوانند استفاده از آن را محدود به سایت های معتبر و شناخته شده کنند. برای شناسایی سایت های معتبر و سالم می توان از ابزارهایی نظیر NoScript add-on برای مرورگر Mozilla و ابزار Toggle Flash برای مرورگر IE استفاده کرد.

NoScript add-on:      http://noscript.net
Toggle Flash:          http://flash.melameth.com