Data de divulgação: junho 17, 2008
Identificador de vulnerabilidade: APSB08-14
Número CVE: CVE-2008-2640
Plataforma: todas as plataformas
Versões de software afetadas: Flex 3.0.1 SDK, Flex Builder 3
Foi identificada uma possível vulnerabilidade de scripts entre sites no código usado pelo recurso Flex 3 History Management (Gerenciamento do histórico do Flex 3). Recomenda-se que os desenvolvedores que tenham habilitado o History Management (Gerenciamento de histórico) em aplicativos desenvolvidos com o Flex 3 atualizem os aplicativos implantados e os ambientes de desenvolvimento com as instruções fornecidas a seguir.
A Adobe recomenda que todos os desenvolvedores do Flex 3 que tenham habilitado o History Management atualizem os aplicativos criados com o Flex 3 e suas instalações do produto Flex 3 com as instruções a seguir:
Os usuários do Flex 3 (Flex 3 SDK e Flex Builder 3) devem atualizar suas instalações do produto com a atualização para Flex 3.0.2 SDK*.
Os usuários do Flex 3 que tiverem habilitado o History Management (Gerenciamento do histórico) em seus aplicativos web com o Flex 3 atualmente implantado devem atualizar todas as instâncias do arquivo historyFrame.html com o arquivo atualizado*. As três instâncias do historyFrame.html na instalação Flex 3 SDK podem ser encontradas nos locais a seguir:
{install root}/templates/client-side-detection-with-history/history/historyFrame.html
{install root}/templates/express-installation-with-history/history/historyFrame.html
{install root}/templates/no-player-detection-with-history/history/historyFrame.html
A Adobe classifica esta atualização como importante* e recomenda que os usuários afetados pelo problema atualizem as instalações dos softwares e sites, se necessário.
Foram identificados erros de validação de entrada no código usado pelo Flex 3 History Management os quais poderiam levar a possíveis ataques de script entre sites. Somente os clientes que tiverem usado ou planejado usar o History Manager no Flex 3 podem estar vulneráveis. O Flex 2 History Manager não está vulnerável a esse problema. Os arquivos relevantes que requerem uma atualização são todas as instâncias do historyFrame.html. Para aplicativos existentes usando o Flex 3 History Manager, recomendamos que os desenvolvedores e/ou administradores do site atualizem os ativos do site com o arquivo atualizado ao seguir as instruções anteriores. Essa vulnerabilidade pode ser explorada remotamente. A Adobe recomenda que os usuários que utilizaram o Flex 3 History Manager atualizem os aplicativos criados com o software Flex 3, bem como suas instalações do produto Flex 3 com as instruções fornecidas anteriormente.
A Adobe gostaria de agradecer a Ory Segal, Adi Sharabani e Ayal Yogev, da IBM Rational Application Security*, por relatar esta vulnerabilidade e por nos ajudar a proteger a segurança de nossos clientes.
Ao usar software da Adobe Systems Incorporated ou de suas subsidiárias ("Adobe"), você concorda com os termos e condições a seguir. Se você não concordar com os termos e condições, não use o software. Os termos do contrato de licença do usuário final que acompanham um determinado arquivo de software obtido mediante a instalação ou o download do software substituem os termos abaixo.
A exportação e reexportação de produtos de software da Adobe são controladas pelas Normas de Administração de Exportação dos Estados Unidos, e tal software não pode ser exportado ou reexportado para Cuba, Irã, Iraque, Líbia, Coréia do Norte, Sudão ou Síria nem para qualquer país com embargo por parte dos Estados Unidos. Além disso, o software da Adobe não pode ser distribuído para pessoas cujos nomes estão na Tabela de Ordens de Proibição e Recusa, na Lista de Entidades ou na Lista de Cidadãos com Designações Especiais.
Ao fazer download ou usar um produto de software da Adobe, você está assegurando que não é cidadão de Cuba, Irã, Iraque, Líbia, Coréia do Norte, Sudão ou Síria ou de nenhum país que sofre embargo por parte dos Estados Unidos e que seu nome não consta na Tabela de Ordens de Proibição e Recusa, na Lista de Entidades ou na Lista de Cidadãos com Designações Especiais.
Se o software for designado para uso com um produto de software aplicativo (o "Aplicativo Host") publicado pela Adobe, a Adobe concederá uma licença não-exclusiva de uso de tal software somente com o Aplicativo Host, desde que você possua uma licença válida da Adobe para o Aplicativo Host. Com exceção do estabelecido abaixo, tal software é licenciado a você conforme os termos e condições do Contrato de Licença do Usuário Final da Adobe que rege o uso do Aplicativo Host.
ISENÇÃO DE RESPONSABILIDADE POR GARANTIAS: VOCÊ CONCORDA QUE A ADOBE NÃO OFERECE GARANTIAS EXPRESSAS QUANTO AO SOFTWARE E QUE O SOFTWARE ESTÁ SENDO FORNECIDO A VOCÊ "COMO ESTÁ", SEM GARANTIAS DE QUALQUER TIPO. A ADOBE SE ISENTA DE QUALQUER RESPONSABILIDADE POR TODAS AS GARANTIAS REFERENTES AO SOFTWARE, SEJAM EXPRESSAS OU IMPLÍCITAS, INCLUINDO, SEM LIMITAÇÕES, GARANTIAS IMPLÍCITAS DE ADEQUAÇÃO PARA UMA FINALIDADE ESPECÍFICA, COMERCIABILIDADE, QUALIDADE NEGOCIÁVEL OU NÃO-VIOLAÇÃO DE DIREITOS DE TERCEIROS. Alguns estados ou jurisdições não permitem a exclusão de garantias implícitas, por isso talvez as limitações acima não se apliquem a você.
LIMITE DE RESPONSABILIDADE: EM HIPÓTESE ALGUMA A ADOBE SERÁ RESPONSÁVEL POR QUALQUER PERDA DE USO OU INTERRUPÇÃO NOS NEGÓCIOS OU POR QUAISQUER DANOS DIRETOS, INDIRETOS, ESPECIAIS, ACIDENTAIS OU CONSEQÜENTES DE QUALQUER TIPO (INCLUINDO LUCROS CESSANTES), INDEPENDENTEMENTE DA FORMA DA AÇÃO, SEJA EM CONTRATO, ILÍCITO CIVIL (INCLUINDO NEGLIGÊNCIA), RESPONSABILIDADE ESTRITA PELO PRODUTO OU DE OUTRA FORMA, MESMO QUE A ADOBE TENHA SIDO NOTIFICADA SOBRE A POSSIBILIDADE DE TAIS DANOS. Alguns estados ou jurisdições não permitem a exclusão ou limitação de danos acidentais ou conseqüentes, por isso talvez a limitação ou exclusão acima não se aplique a você.
