Az Adobe javítja a flash hibákat, a támadók a Firefox felhasználóit célozzák meg

Az Adobe három új biztonsági hibát javított a szinte mindenütt jelen lévő Flash Player-ben, amelyek közül kettőt már a természetben is felhasználtak. A támadók kifejezetten a Mozilla Firefox felhasználóit célozták meg.

A két nulla napos sebezhetőséget, a CVE 2013-0643 és a CVE 2013-0648, kihasználták célzott támadások során, ahol a felhasználókat megtévesztették egy rosszindulatú Flash fájlokat tároló webhely linkjére kattintással - mondta az Adobe kedden közzétett biztonsági tanácsadásában. A vállalat nem számolt el olyan szervezettel vagy kutatóval, amely a nulla napos biztonsági réseket találta meg, de jóváírta az IBM X-erőt a harmadik biztonsági lyuk jelentése miatt.

Az RSA konferencián az Adobe biztonsági mérnökei szintén elutasították a kiegészítő információk megadását.

"A Cve 2013-0643 és a CVE 2013-0648 programjának kihasználását a Firefox böngésző célzására tervezték" - mondta az Adobe a tanácsadásban.

Az Adobe közölte, hogy a támadók kiszolgáltathatják a biztonsági réseket, és a Flash Player összeomlik, és a számítógép távirányítóját megszerezheti. A nulla napos hibák a Flash Player Firefox homokozójának engedélyekkel kapcsolatos problémájához és az ExternalInterface ActionScript szolgáltatás hibájához kapcsolódnak, amelyet ki lehet használni a rosszindulatú kód végrehajtásához. A harmadik, jelenleg még nem kiaknázott hiba a puffer túlcsordulást okozó biztonsági rése volt a Flash Player bróker szolgáltatásban, és rosszindulatú kódok végrehajtására használható fel - mondta az Adobe.

A frissítés a Flash összes verzióját érinti Windows, Mac OS X és Linux rendszereken. A felhasználók letölthetik a legújabb verziót az Adobe webhelyéről, vagy bekapcsolhatják a háttérfrissítéseket, és hagyhatják, hogy a szoftver automatikusan megragadja a verziót. A Google és a Microsoft külön frissíti a Flash-et a Chrome-ban és az Internet Explorer 10-ben (Windows 8 esetén).

Ez a Flash frissítés a sávon kívüli javítás a Flash Player számára ebben a hónapban, a harmadik Adobe javítás a február hónapban, és a negyedik ilyen javítás, amelyet eddig kiadtak 2013-ban.

Már majdnem egy év telt el, amikor az Adobe bekapcsolta a Flash és a Reader autmatikus frissítéseit, és a frissítések aránya óriási volt - mondta Brad Arkin, az Adobe biztonsági és adatvédelmi vezető igazgatója a SecurityWatch-nek az RSA konferencián. Az előző modell, amelyben a felhasználókat arra kérték, hogy töltsék le a legújabb frissítéseket, nem voltak elegendőek ahhoz, hogy a felhasználók valóban javítsák a Flash Player-t - mondta Arkin. A háttérfrissítésekre való áttéréssel a siker aránya jelentős volt.

Az RSA lefedettségünk összes üzenetének megtekintéséhez olvassa el a Jelentések megjelenítése oldalt.