Adobe se omluvila za 16 měsíců starou chybu v přehrávači Flash

11. 2. 2010

Sdílet

Přehrávač Flash je jedním z oblíbených cílů útočníků – v tomto případě jde totiž obvykle o útok typu drive-by, kdy obvykle stačí, aby uživatel klikl na odkaz v e-mailu nebo na webové stránce.

Společnost Adobe se nyní omluvila za to, že v přehrávači Flash existuje již 16 měsíců od nahlášení potenciálně nebezpečná zranitelnost. Mezitím přitom došlo několikrát k vydání oprav. Problém je však v tom, že oprava chyby se dostala jen do beta verze Flash Playeru 10.1, ovšem vydání finální verze odděluje od oznámení incidentu obrovská prodleva.

Výzkumník Matthew Dempsky na tuto chybu upozornil společnost Adobe již v září 2008. Zranitelnost může podle všeho primárně vést pouze ke zhavarování prohlížeče (nebo ještě méně, jen plug-inu pro Flash). To samo o sobě nic moc z pohledu útočníků neznamená, jenže ve spojení s nějakou další chybou to může umožnit vsunout do paměti spustitelný kód. I sám Dempsky se pokusil vytvořit model příslušného útoku typu proof-of-concept.

ICTS24

Společnost Adobe se každopádně Dempskému i uživatelům omluvila. Oprava nebyla zařazena do produkčních verzí, protože jí z důvodů interní metodiky byla přisouzena nižší priorita. Chyba tak bude zalátána až ve finálním přehrávači Flash verze 10.1, dosud ale nebylo oficiálně oznámeno přesnější datum jejího vydání než „1. polovina roku 2010“.