Plug-in pro flash má v prohlížeči nainstalována většina uživatelů, SWF se pak spouští automaticky. Přitom pro podvodníky nebylo ani nutné přilákat uživatele na svůj vlastní web; flash se totiž často používá v reklamních systémech a pro jejich provozovatele je obtížné podvodný soubor odhalit a ze systému vyřadit. Útočníci mohou také odkazy na podvržený SWF soubor šířit spamem, včetně zaplavení sociálních sítí. Krom toho mohli zkoušet podvrhnout svůj soubor na důvěryhodnou stránku i jinak než pomocí reklamního systému, to ovšem vyžadovalo najít nějakou další zranitelnost, použít clickjacking apod.
Pokusy o zneužití podle Adobe nicméně zatím zaznamenány nebyly, výše uvedené postupy se nicméně již používaly při podobných chybách přehrávače Flash v minulosti.
Hlavní právě opravená chyba je v přetečení zásobníku (buffer overflow) umožňující vzdálené spuštění libovolného kódu. Aktualizace opravují také další možné zranitelnosti přehrávače vztahující se k clickjackingu nebo umožňující útoky DDoS (zde jde o problém s ověřením vstupu).
Aktualizace se uživatelům přímo nabízí, nemělo by ji být potřeba nějak speciálně stahovat/instalovat. Podrobný popis zranitelnosti je k dispozici v Secuirty Bulletinu Adobe zde. Nejnovější verzí přehrávače je teď 10.0.22.87. Kontrolu verze lze provést automaticky na stránkách Adobe.
O bezpečnostních problémech v produktech Adobe jsme na Security Worldu v minulém týdnu psali v souvislosti se zranitelností Acrobatu, která umožňuje vzdálené spuštění kódu pomocí speciálně upraveného souboru PDF.
Viz také:
Kritická chyba v Acrobat Readeru, oprava není
Neoficiální záplata pro Acrobat Reader je na světě
PŘEDPLATNÉ
ČLÁNKY DO MAILU