Strumento gratuito dalle scansioni HP per le vulnerabilità Flash

Hewlett-Packard ha ha rilasciato uno strumento di sviluppo gratuito che trova vulnerabilità in Flash, la tecnologia Web interattiva ampiamente utilizzata ma occasionalmente buggata di Adobe System.

Lo strumento, SWFScan, è progettato per gli sviluppatori senza background di sicurezza, ha detto la società in uno dei suoi blog. È stato realizzato dal gruppo di ricerca sulla sicurezza Web di HP.

HP ha affermato che SWFScan si unisce ad altri strumenti in grado di individuare problemi con Flash, come Flare e SWFIntruder. Ma HP ha detto che SWFScan è l'unico che può essere utilizzato con le versioni Flash 9 e 10; ActionScript 3, linguaggio di scripting di Flash; e Flex, un framework di applicazioni Web open source utilizzato da Adobe.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

SWFScan decompone ActionScript 2 e 3 nel codice sorgente originale ed esegue analisi statiche, cercando Per oltre 60 vulnerabilità, tra cui la perdita di dati, le vulnerabilità di cross-site scripting e l'escalation dei privilegi tra domini, HP ha detto.

Lo strumento evidenzia linee fastidiose nel codice sorgente e fornirà anche consigli di riparazione. Formatterà un rapporto sulle vulnerabilità, oltre a consentire l'esportazione del codice sorgente per il lavoro in altri strumenti, HP ha affermato.

HP ha affermato di aver testato SWFScan su 4.000 applicazioni Flash e ha rilevato che il 35% violava le migliori pratiche di sicurezza di Adobe. Il 16% delle applicazioni per Flash Player 8 e precedenti conteneva vulnerabilità di scripting cross-site. Il 15% di quelle applicazioni con moduli di accesso aveva nomi utente o password codificati nell'applicazione, HP ha detto.

HP ha avvertito che lo strumento considera solo la parte di un'applicazione Flash che gira in un browser e non quelle parti in esecuzione su un server.