Adobe izlabo Flash kļūdas, uzbrucēji ir mērķēti uz Firefox lietotājiem

Adobe savā gandrīz visuresošajā Flash Player izlaboja trīs jaunus drošības trūkumus, no kuriem divi jau tika izmantoti savvaļā. Uzbrucēji bija īpaši vērsti uz Mozilla Firefox lietotājiem, sacīja uzņēmums.

Divas nulles dienas ievainojamības, CVE 2013-0643 un CVE 2013-0648, tika izmantotas mērķtiecīgos uzbrukumos, kur lietotājiem tika pievilts noklikšķināt uz saites uz vietni, kurā tiek mitināti ļaunprātīgi Flash faili, savā paziņojumā par drošību otrdien paziņoja Adobe. Uzņēmums neieskaitīja nevienu organizāciju vai pētnieku, kurš atklāja nulles dienas ievainojamības, bet kreditēja IBM X-force par ziņošanu par trešo drošības caurumu.

Arī Adobe drošības inženieri RSA konferencē atteicās sniegt jebkādu papildu informāciju.

“Cve 2013-0643 un CVE 2013-0648 izmantošana ir paredzēta, lai mērķētu uz Firefox pārlūku, ” Adobe teica padomdevējā.

Uzbrucēji varētu izraisīt ievainojamības, kas varētu izraisīt Flash Player avāriju un iegūt datora tālvadību, sacīja Adobe. Nulles dienas kļūdas ir saistītas ar atļauju problēmu saistībā ar Flash Player Firefox smilšu kasti un nepilnību ārējā interfeisa ActionScript funkcijā, kuru var izmantot, lai izpildītu ļaunprātīgu kodu. Trešā, pagaidām vēl netiek izmantota kļūda bija bufera pārpildes ievainojamība Flash Player starpnieka pakalpojumā, un to varēja izmantot ļaunprātīga koda izpildei, sacīja Adobe.

Atjauninājums ietekmē visas Flash versijas operētājsistēmās Windows, Mac OS X un Linux. Lietotāji var lejupielādēt jaunāko versiju no Adobe vietnes vai ieslēgt fona atjauninājumus un ļaut programmatūrai automātiski satvert versiju. Google un Microsoft atjauninās Flash pārlūkā Chrome un Internet Explorer 10 (operētājsistēmai Windows 8) atsevišķi.

Šis Flash atjauninājums ir otrais ārpuslīnijas plāksteris Flash Player šomēnes, trešais Adobe ielāps februāra mēnesī un ceturtais šāds ielāps, kas līdz šim izlaists 2013. gadā.

Ir pagājis gandrīz gads, kopš Adobe ir ieslēdzis Flash un Reader automātiskos atjauninājumus, un atjauninājumu biežums ir bijis milzīgs, RSA konferencē SecurityWatch pastāstīja Breds Arkins, Adobe vecākais direktors drošības un privātuma jomā. Arkins sacīja, ka iepriekšējais modelis, kurā lietotājiem tika piedāvāts lejupielādēt jaunākos atjauninājumus, nebija pietiekams, lai lietotāji varētu faktiski labot Flash Player. Pārejot uz fona atjauninājumiem, panākumu līmenis ir bijis ievērojams.

Lai redzētu visus ziņojumus no mūsu RSA pārklājuma, apskatiet mūsu lapu Rādīt pārskatus.