Adobe musela opět vydat kritickou opravu pro Flash Player

16. 6. 2011

Sdílet

Budou snad SWF (eventuálně vložené do PDF, Excelu apod.) soubory zítra hlavním vektorem pro zneužívání chyb? Začnou se hromadně rozesílat e-mailem?

Společnost Adobe vydala další várku aktualizací pro své produkty.

Kromě přehrávače Flash Player, který byl záplatován za posledních 10 dní již podruhé, byly uvolněny také opravy pro Adobe Reader. V prohlížeči PDF bylo opraveno 13 nově zjištěných chyb a navíc ještě řada starších (viz dále).

Kritická chyba v přehrávači Flash se týká porušení paměti a útočníkovi umožňuje vzdálené spuštění kódu. Zajímavé na této chybě je, že ji na rozdíl od většiny zranitelností tohoto typu není možné zneužít ve vztahu k Readeru (do PDF lze vkládat obsah ve formátu Flash). To ovšem neznamená, že by se Readeru netýkala současně celá řada jiných oprav, a to včetně nejnovější verze Adobe Reader X. Dokonce zde byly opraveny některé zranitelnosti až se zpožděním oproti záplatám pro starší verze prohlížeče PDF. Adobe to zdůvodňuje tím, že uživatele zde před zneužitím uživatele chránil sandbox.

V případě Readeru se zranitelnosti opět týkaly porušení paměti, ale i přetečení zásobníku nebo haldy, načítání falešných DLL knihoven nebo typu zranitelnosti cross-document scripting (XDS). Některé z chyb lze podle všeho zneužití pouze přes plug-in Readeru ve webovém prohlížeči. Adobe ovšem uvádí, že pokusy o útoky proti Readeru u právě opravených zranitelností zaznamenány nebyly.

Ne tak ovšem v případě přehrávače Flash Player. Chyba opravená před cca 10 dny byla zneužita ke kompromitaci účtů na GMailu (Za útokem na GMail stála chyba v přehrávači Flash Player) a podobné pokusy se objevily i nyní. Budou snad SWF (eventuálně vložené do PDF, Excelu apod.) soubory zítra hlavním vektorem pro zneužívání chyb? Začnou se hromadně rozesílat e-mailem?

ICTS24

Zbývá dodat, že Adobe současně vydala i opravy chyb pro přehrávač Shockwave a vývojový nástroj Cold Fusion.