Adobe zakrpane bliskovne napake, napadalci, namenjeni strežnikom Firefox

Adobe je v skorajda vseprisotnem Flash Playerju zakrpal tri nove varnostne napake, od katerih sta bili že dve v divjini. Napadalci so posebej ciljali na uporabnike Mozilla Firefox, so sporočili iz podjetja.

Obe ranljivosti, ki sta bili brez vsakega dne, CVE 2013-0643 in CVE 2013-0648, sta bili izkoriščeni v ciljnih napadih, kjer so uporabniki naklepali, da kliknejo povezavo do spletnega mesta, ki gosti zlonamerne datoteke Flash, je dejal Adobe v svojem varnostnem nasvetu, objavljenem v torek. Podjetje ni odobrilo nobene organizacije ali raziskovalca, ki bi odkril ničelne ranljivosti, vendar je IBM X-force pripisal za prijavo tretje varnostne luknje.

Adobejevi varnostni inženirji na konferenci RSA prav tako niso želeli posredovati dodatnih informacij.

"Izkorišče za Cve 2013-0643 in CVE 2013-0648 je namenjeno usmerjanju brskalnika Firefox, " je dejal Adobe v svetovanju.

Napadalci bi lahko sprožili ranljivosti, zaradi katerih bi se Flash Player zrušil in pridobili daljinski nadzor nad računalnikom, je dejal Adobe. Napake brez dneva so povezane z izdajo dovoljenj s peskovnikom Flash Player Firefox in napako v funkciji ExternalInterface ActionScript, ki jo je mogoče uporabiti za izvajanje zlonamerne kode. Tretja napaka, ki je trenutno še ne izkoriščajo, je bila ranljivost prelivanja medpomnilnika v storitvi posrednika Flash Player in bi jo lahko uporabili za izvajanje zlonamerne kode, je dejal Adobe.

Posodobitev vpliva na vse različice Flasha v operacijskem sistemu Windows, Mac OS X in Linuxu. Uporabniki lahko prenesejo najnovejšo različico s spletnega mesta Adobe ali vklopijo posodobitve v ozadju in pustijo, da programska oprema samodejno zgrabi različico. Google in Microsoft bosta posodabljala Flash v Chromu in Internet Explorerju 10 (za Windows 8) ločeno.

Ta posodobitev Flash je drugi zunanji paket za Flash Player v tem mesecu, tretji patch Adobe v mesecu februarju, četrti pa je bil objavljen leta 2013 doslej.

Skoraj eno leto je minilo, ko je Adobe vklopil avtomatske posodobitve za Flash in Reader, hitrost posodobitev pa je bila izredna, je za SecurityWatch na konferenci RSA povedal Brad Arkin, višji direktor za varnost in zasebnost pri Adobeu. Prejšnji model, v katerem so uporabniki morali prenesti najnovejše posodobitve, ni bil dovolj, da bi uporabniki dejansko zakrpali Flash Player, je dejal Arkin. S premikom na posodobitve ozadja je bila stopnja uspeha zelo pomembna.

Če si želite ogledati vse objave iz našega poročila o RSA, si oglejte našo stran Pokaži poročila.