Siedem łatek dla Flash Playera

Firma Adobe zaktualizowała oprogramowanie Flash Player, naprawiając w nim siedem błędów sklasyfikowanych jako krytyczne (tzn. umożliwiające zdalne uruchomienie złośliwego kodu na zaatakowanej maszynie). Jedna z załatanych luk posłużyła niedawno jednemu z uczestników konkursu "PWN To OWN" do włamania do komputera pracującego pod kontrolą systemu Windows Vista.

Przypomnijmy, że w ostatnim dniu konkursu "PWN To OWN" haker Shane Macaulay po siedmiu godzinach zmagań i dzięki pomocy kolegów, Aleksandra Sotirowa i Dereka Callawaya przejął kontrolę nad pecetem z Vistą SP1 wykorzystując lukę we Flash Playerze. Adobe twierdzi, że wykorzystany przez Macaulay'a błąd był znany już wcześniej firmowym specjalistom ds. zabezpieczeń i przewidziany w zaplanowanej na kwiecień aktualizacji.

Większość poprawek dotyczy sposobu w jaki Flash Player obsługuje pliki SWF (jeden z błędów zgłosił Adobe pracownik Google, Rich Cannings w grudniu 2007 r., twierdząc że umożliwia on atak typu cross-site scripting). Wśród łatek dodanych do najnowszego wydania aplikacji znalazła się m.in. funkcja sprawdzania zasad "krzyżowania" domen (cross-domain policy check).

W ostatnim czasie wykorzystywanie luk we Flashu stało się szczególnie "modne" wśród cyberwłamywaczy. Posiadanie zainstalowanego w systemie odtwarzacza wymagane jest, jeśli chce się przeglądać niektóre zasoby Internetu. We Flashu tworzone są także banery reklamowe - przestępcy również i tę platformę zaadaptowali na własne potrzeby, tworząc złośliwe banery (powstała już nawet nazwa na to zjawisko malvertisement, czyli malware advertisement)

Pobierz Flash Playera


Zobacz również