Herramienta gratuita de HP Scans para vulnerabilidades de Flash

Hewlett-Packard lanzó una herramienta de desarrollo gratuita que detecta vulnerabilidades en Flash, la tecnología web interactiva ampliamente utilizada pero ocasionalmente defectuosa de Adobe System.

La herramienta, SWFScan, está diseñada para desarrolladores sin fondos de seguridad, dijo la compañía en uno de sus blogs. Fue creado por el Grupo de Investigación de Seguridad Web de HP.

HP dijo que SWFScan se une a otras herramientas que pueden detectar problemas con Flash, como Flare y SWFIntruder. Pero HP dijo que SWFScan es el único que se puede usar con las versiones Flash 9 y 10; ActionScript 3, el lenguaje de scripting de Flash; y Flex, un marco de aplicación web de código abierto utilizado por Adobe.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

SWFScan descompilará ActionScript 2 y 3 en el código fuente original y realizará análisis estáticos, buscando para más de 60 vulnerabilidades, incluida la fuga de datos, las vulnerabilidades de scripts entre sitios y la escalada de privilegios entre dominios, dijo HP.

La herramienta resalta las líneas problemáticas en el código fuente y también proporcionará recomendaciones de reparación. Dará formato a un informe de vulnerabilidad, así como permitirá la exportación de código fuente para trabajar en otras herramientas, dijo HP.

HP dijo que probó SWFScan en unas 4.000 aplicaciones Flash y descubrió que el 35 por ciento violó las mejores prácticas de seguridad de Adobe. El dieciséis por ciento de las aplicaciones para Flash Player 8 y anteriores contenían vulnerabilidades de scripts entre sitios. Quince por ciento de esas aplicaciones con formularios de inicio de sesión tenían nombres de usuario o contraseñas codificadas en la aplicación, dijo HP.

HP advirtió que la herramienta solo mira la parte de una aplicación Flash que se ejecuta en un navegador y no las partes que se ejecutan un servidor.