9 krytycznych luk we Flashu

Firma Adobe Systems udostępniła uaktualnienie dla aplikacji Flash Player, usuwające z niej aż 9 krytycznych luk w zabezpieczeniach. Jak informują specjaliści z firmy Secunia, błędy te mogą posłużyć do przeprowadzenia skutecznego ataku na komputer z zainstalowanym Flashem - niezależnie od systemu operacyjnego (Windows, Mac OS X, Linux).

Z informacji przedstawionych przez Adobe wynika, że problem dotyczy Flash Playera w wersji

9.0.48.0 oraz wcześniejszych. Większość błędów związana jest z niedostatecznym sprawdzaniem dostarczanych do aplikacji danych - mogą one posłużyć przestępcom do wywołania tzw. błędu przepełnienia bufora i uruchomienia w systemie nieautoryzowanego kodu. "Błąd taki może zostać wywołany zdalnie - za pomocą danych osadzonych na stronie WWW, pliku dostarczonego użytkownikowi e-mailem lub innym sposobem, wykorzystującym właściwości Flash Playera" - czytamy w oświadczeniu wydanym przez Adobe.

Duńska firma Secunia (zajmująca się monitorowaniem luk w popularnych aplikacjach) oceniła wszystkie 9 błędów jako "wysoce krytyczne". To jeden z najwyższych wykorzystywanych przez Secunię statusów zagrożenia - groźniejsze są jedynie luki uznawane za "ekstremalnie krytyczne" (tym mianem zwykle określa się błędy, które są już masowo wykorzystywane przez cyberprzestępców).

Z analiz przeprowadzonych przez ekspertów z Secunii wynika, że najprostszym sposobem przeprowadzenia ataku jest dostarczenie użytkownikowi odpowiednio zmodyfikowanego pliku .swf (np. umieszczenie go na stronie WWW lub wysłanie e-mailem). Błędy pozwalają na uruchomienie w systemie niebezpiecznego kodu, a także przeprowadzenie ataków typu XSS (cross-site scripting), omijanie firewalli oraz nieautoryzowane zwiększenie uprawnień na serwerach hostujących multimedia w formacie flash.

Przedstawiciele Adobe poinformowali, że 2 z załatanych właśnie błędów odkryli specjaliści z zespołu ds. bezpieczeństwa koncernu Google, zaś dwa kolejne - naukowcy z Uniwersytetu Stanforda. Koncern przygotował uaktualnioną wersję Flash Playera, z której usunięto wszystkie błędy - jest ona oznaczona numerem 9.0.115.0 (Adobe zaleca użytkownikom jak najszybsze pobranie i zainstalowanie jej).

Nowe wydanie dostępne jest już na większość platform systemowych (koncern udostępniał od początku grudnia kolejne wersje) - wyjątkiem jest Solaris, którego użytkownicy na razie do dyspozycji mają jedynie poprawioną wersję beta. Osoby korzystające z systemu Mac OS X nie muszą pobierać nowej wersji Flasha - została ona bowiem zawarta w ostatniej aktualizacji zbiorczej dla OS-u Apple'a (pisaliśmy o niej w tekście "Zestaw łat dla Tygrysa i Leoparda").

Więcej informacji oraz pliki do pobrania znaleźć można na stronie Adobe.


Zobacz również