Adobe zalátala zero day zranitelnost v přehrávači Flash

18. 4. 2011

Sdílet

Společnost Adobe vydala opravu kritické zero day zranitelnosti v přehrávači Flash Player. Podvodníci již chyby zneužívali pomocí videa Flash vloženého do dokumentů Word a Excel.

 Viz také: Adobe připustila další zero day chybu v přehrávači Flash

 

Jedná se už druhou podobnou kvapně uváděnou aktualizaci za poslední 4 týdny a podobný byl i způsob jejího zneužití.

Nová verze přehrávače Flash Player má číslo 10.2.159.1 a je dostupná pro Windows, Mac OS, Linux a Solaris. Instalace aktualizace by se měla uživatelům nabídnout automaticky. Adobe ovšem zatím nevydala opravu pro Google Android, který též podporuje Flash. Záplata zde bude k dispozici nejdříve 25. dubna. Stejně tak až dodatečně bude opraven Acrobat/Reader – také do PDF souborů lze vkládat formát Flash. Ve verzi Reader X by však před zneužitím chyby měl ochránit sandbox – tj. bylo by třeba najít ještě zranitelnost v mechanismu chráněného režimu. Naopak Google Chrome již problém opravil s předstihem.

Útoky proti této zranitelnosti začaly pomocí škodlivých wordových dokumentů, nyní se však rozšířily také na soubory ve formátu Excelu.

ICTS24

Mila Parkour, nezávislý bezpečnostní výzkumník, který tuto zranitelnost objevil, tvrdí, že malware zneužívající chybu se pokouší komunikovat se servery registrovanými v Číně. I použité dokumenty Office byly původně zřejmě vytvořeny v čínštině, ačkoliv jejich názvy a obsah byly samozřejmě přizpůsobeny/lokalizovány (mohou se vydávat např. za firemní plán pro reorganizaci).