Sandbox Adobe nie taki znowu bezpieczny?

Billy Rios, inżynier zajmujący się sprawami bezpieczeństwa, pracujący dla Microsoftu na swoim blogu opublikował informację, jakoby miał znaleźć sposób na ominięcie zabezpieczeń sandbox zastosowanych w Adobe Flash Player. W tym celu został użyty specjalnie przygotowany plik SWF, za pośrednictwem którego atakujący może uzyskać dostęp do plików. Sandbox na chwilę obecną ograniczył dostęp do plików do poziomu sieci lokalnej.

Rios jednak zaznaczył, że to kwestia czasu, aż ktoś znajdzie protokół, który nie jest wpisany na czarną listę sandboxa i w ten sposób będzie mógł przejąć kontrolę nad systemem z poziomu globalnej sieci.

Rzecznik Adobe poinformował o zakwalifikowaniu wykrytej luki w zabezpieczeniach jako umiarkowanej. Według Adobe:

Osoba atakująca musiałaby w pierwszej kolejności uzyskać prawa dostępu do systemu plików atakowanej maszyny w celu umieszczania w nim specjalnie spreparowanego pliku(…) W większości przypadków nie da się uruchomić pliku SWF poprzez dwukrotne kliknięcie; użytkownik musi sam uruchomić plik w aplikacji.