Flash se potýká s velkým množstvím kritických zranitelností

V pořadí již pátá letošní aktualizace opravuje hned sedm kritických zranitelností. Kromě ní Adobe vydalo plugin, který v prohlížeči Firefox aktivuje sandbox.

Flash se potýká s velkým množstvím kritických zranitelností


Společnost také uvolnila nástroj pro tiché aktualizace v operačním systému Mac OS X a informovala, že spustila přípravu Flashe na příchod verze OS X 10.8 Mountain Lion. Zatím prý opatřila svůj kód podpisem, díky kterému mohou uživatelé instalovat software stažený z jiných než oficiálních zdrojů Applu.

„Tato aktualizace řeší zranitelnosti, které by mohly způsobit pád počítače a případně dát útočníkům kontrolu nad postiženým počítačem,“ píše ve své zprávě Adobe. Problémy se prý objevily v nejrůznějších částech zdrojového kódu, ať už šlo o poškození paměti, přetečení zásobníku nebo bezpečnostní obcházení chyb.

Díky jedné zranitelnosti v instalátoru Flashe by například mohlo dojít k realizaci útoku typu „binary planting“, což je jen jiné označení pro „DLL load hijacking“. Tento druh útoku využívá toho, že mnoho aplikací pro operační systémy Windows pro přístup k DLL nepoužívá jejich plnou cestu, ale vystačí si jen s názvem souboru. Hackerům pak stačí nahrát infikovaný soubor stejného jména. Adobe však zatím nemá žádné informace, že by ke zneužití této nebo ostatních zranitelností skutečně došlo.

Informace o několika zranitelnostech opravených prostřednictvím nejnovějších aktualizace dostalo Adobe od pracovníků Microsoftu. Tyto dvě společnosti spolu v poslední době úzce spolupracují. Naposledy Microsoft informoval, že chce za asistence Adobe zajistit integraci Flash Playeru do verze Metro prohlížeče Internet Explorer 10. Již dříve přitom proklamoval, že pluginy do této verze nepustí.

Kromě oprav obsahuje aktualizace Flash Playeru s označením 11.13 také plugin sandboxu pro prohlížeč Firefox a slíbený tichý aktualizační systém pro Mac OS X. O svých plánech na sandbox ve Firefoxu společnost poprvé informovala v únoru, kdy také vydala beta verzi tohoto modulu pro Windows Vista a 7.

Sandbox slouží k izolování procesů v počítači, čímž brání hackerům ve zneužití neopravených zranitelností. Poprvé se sandbox od Adobe objevil v prohlížeči Chrome v roce 2010. Adobe na něm tehdy spolupracovalo se specialisty Googlu a stejně tak je prý nyní v kontaktu i s Mozillou.

Tichý aktualizační mechanismus pro Mac OS X pak debutoval již v beta verzi Flash Playeru 11.3 uvolněné před měsícem, ve finální podobě je však dostupný až nyní. Nástroj je podobný verzi určené pro Windows uvolněné letos v březnu – kontaktuje servery Adobe každou hodinu dokud nedostane odpověď. Uživatel si přitom vůbec ničeho nevšimne. Ve výchozím nastavení jsou tiché aktualizace pro Mac OS X zapnuté.











Komentáře