Adobe opravuje kritické chyby přehrávače Flash

2. 3. 2009

Sdílet

Společnost Adobe zveřejnila opravy pro přehrávač Flash na platformách Windows, Linux i MacOS X. Kritická zranitelnost umožňovala útok pouze spuštěním podvrženého souboru SWF. Útok lze proto provést poměrně snadno a riziko je značné.

Plug-in pro flash má v prohlížeči nainstalována většina uživatelů, SWF se pak spouští automaticky. Přitom pro podvodníky nebylo ani nutné přilákat uživatele na svůj vlastní web; flash se totiž často používá v reklamních systémech a pro jejich provozovatele je obtížné podvodný soubor odhalit a ze systému vyřadit. Útočníci mohou také odkazy na podvržený SWF soubor šířit spamem, včetně zaplavení sociálních sítí. Krom toho mohli zkoušet podvrhnout svůj soubor na důvěryhodnou stránku i jinak než pomocí reklamního systému, to ovšem vyžadovalo najít nějakou další zranitelnost, použít clickjacking apod.

Pokusy o zneužití podle Adobe nicméně zatím zaznamenány nebyly, výše uvedené postupy se nicméně již používaly při podobných chybách přehrávače Flash v minulosti.

Hlavní právě opravená chyba je v přetečení zásobníku (buffer overflow) umožňující vzdálené spuštění libovolného kódu. Aktualizace opravují také další možné zranitelnosti přehrávače vztahující se k clickjackingu nebo umožňující útoky DDoS (zde jde o problém s ověřením vstupu).

Aktualizace se uživatelům přímo nabízí, nemělo by ji být potřeba nějak speciálně stahovat/instalovat. Podrobný popis zranitelnosti je k dispozici v Secuirty Bulletinu Adobe zde. Nejnovější verzí přehrávače je teď 10.0.22.87. Kontrolu verze lze provést automaticky na stránkách Adobe.

O bezpečnostních problémech v produktech Adobe jsme na Security Worldu v minulém týdnu psali v souvislosti se zranitelností Acrobatu, která umožňuje vzdálené spuštění kódu pomocí speciálně upraveného souboru PDF.

Viz také:

Kritická chyba v Acrobat Readeru, oprava není

bitcoin_skoleni

Neoficiální záplata pro Acrobat Reader je na světě