Adobe připustila další zero day chybu v přehrávači Flash

12. 4. 2011

Sdílet

Již podruhé v posledním měsíci společnost Adobe potvrdila, že v přehrávači Flash Player se nachází kritická bezpečnostní zranitelnost. Zajímavé je, že zneužití lze opět provést přes formát MS Office, tentokrát přes Word.

Nedávno opravená zranitelnost umožňovala útok přes video Flash se škodlivým kódem vložené do tabulky MS Excel. Viz také: Kombinovaná zero day zranitelnost – Flash a Excel

Celý problém, jakkoliv jen jeden z mnoha podobného typu, si mezitím stihl získat jistou proslulost, protože právě s pomocí této chyby došlo k útokům proti certifikátům SecurID společnosti RSA/EMC. (Už se ví, kde byl problém RSA: zero day chyba v přehrávači Flash)

 

V tomto případě může podobnou roli sehrát MS Word. Takové soubory lze umístit na webu, pro útočníky je však výhodou, že formáty MS Office nebývají blokovány na úrovni e-mailové brány, lze je tedy také posílat jako příloho e-mailu.

Mila Parkour, nezávislý bezpečnostní výzkumník, uvedl pro americký Computerworld, že již byly zaznamenány útoky, kdy byl Flash obsahující škodlivý kód vkládán do dokumentů s názvem Disentangling Industrial Policy and Competition Policy.doc. Zatím byly rozesílány jen omezenému počtu (zřejmě) vytipovaných adresátů - podle všeho právní oddělení amerických firem a vládních agentur -, nikoliv plošně.

Příslušnou zranitelnost formátu Flash lze zřejmě zneužít i pomocí vložení multimediálního obsahu do formátu PDF. Společnost Adobe tvrdí, že žádné útoky tohoto typu ale nezaznamenala.

ICTS24

 

Není zatím jasné, kdy bude vydána oprava. Proti zneužití pomocí excelových souborů Microsoft vydal speciální nástroj ještě před opravou od Adobe, možná k podobnému scénáři dojde i v případě Wordu.