(Por Rubén Borlenghi, el Microsaurio) Malas noticias para quienes producen Rich Internet Applications con Adobe Flex (sí, esa que era hasta 2005 Macromedia Flex). Desde la casa matriz han avisado sobre una grave falla de diseño (perdón, ellos escribieron “una importante vulnerabilidad”) que afecta muchas aplicaciones desarrolladas con ese software. Si te cabe, arrimate que te cuento, y si no sos desarrollador, pero contrataste a alguien para poner algún SWF en tu website, sería mejor que le preguntes si eso que te facturó está afectado. O sea, si desarrollás con Flex, hay que hacer mantenimiento o sufriremos las consecuencias.
Vamos a los detalles.
La semana pasada la empresa Adobe publicó su Nota de seguridad APSB 11-25, que arranca informando que es una actualización de seguridad para el kit de desarrollo de Flex (Flex SDK), y que la falla afecta a productos de la plataforma Windows, Mac y Linux (GNU Linux, deberían haber escrito, pero…)
Los SDK que tienen esa falla de diseño, que genera una vulnerabilidad de seguridad, son:
- Adobe Flex SDK 3.6 y anteriores
- Adobe Flex SDK 4.5.1 y anteriores
En cuanto a la solución, no es solamente actualizar el producto, cosa que se cae de madura, sino…
Ojo con esta frase—> verificar cualquier archivo SWF relevante en sus aplicaciones, empleando las instrucciones provistas en la nota técnica.
La nota de seguridad también menciona un informe con más instrucciones, la nota de Base de Conocimientos CPSID 91544, que detalla cuáles son las aplicaciones vunerables:
- Todas y cualquiera de las aplicaciones basadas en web (pero no las basadas en AIR) construidas usando cualquier versión de Flex 3.x
- Las aplicaciones basadas en web (no las basadas en AIR) construidas usando cualquier versión de Flex 4.x que fuesen compiladas usando static linkage. Verificar las excepciones, en la nota mencionada.
- En algunos raros casos, pueden ser vulnerables algunas aplicaciones de Flex 4.x compiladas en el modo por defecto.
Una aclaración interesante: los archivos SWF creados sin usar Flex, tales como los que se crean con Adobe Flash Professional, no son vulnerables (¡essssaaaaa!)
Finalmente, la nota técnica 91544, que fue modificada a última hora del viernes pasado, tiene un largo párrafo donde se detalla cómo comprobar si una aplicación es vulnerable, detrás de la siguiente frase clarísima: las aplicaciones vulnerables deben ser reparadas y re-instaladas.
Querido desarrollador, a ver si queda claro: hay que revisar cada SWF que hiciste con Flex; si no pasa la prueba, hay que “emparcharlo”. Lo lamento por la pérdida de tiempo, pero la seguridad de los websites de tus clientes necesita tu buena voluntad.
Los visitantes de esos sitios te lo van a agradecer. O van a lamentar la desidia de los sordos intencionales.
Sobre todo, porque la falla de seguridad mencionada por Adobe podría posibilitar el robo de información, o que un atacante pueda hacerse pasar por un usuario legítimo.
Lo cual, en el caso de home banking, es un garrón.
¿Hace falta ser más claro?