Video: Webinar: Automating Patch Tuesday - July 2019 (Listopad 2024)
Dvě zranitelnosti nulového dne, CVE 2013-0643 a CVE 2013-0648, byly zneužívány při cílených útocích, kdy uživatelé byli oklamáni kliknutím na odkaz na webovou stránku hostující škodlivé soubory Flash, uvedl v úterý bezpečnostní zpravodaj společnosti Adobe. Společnost neuznávala žádnou organizaci ani výzkumného pracovníka, který našel zranitelnosti v nultý den, ale připočítal IBM X-force za oznámení třetí bezpečnostní díry.
Bezpečnostní inženýři společnosti Adobe na konferenci RSA rovněž odmítli poskytnout jakékoli další informace.
„Využití pro Cve 2013-0643 a CVE 2013-0648 je navrženo tak, aby zacílilo na prohlížeč Firefox, “ řekl Adobe v doporučení.
Útočníci by mohli spustit zranitelnost, která by způsobila zhroucení aplikace Flash Player a získání dálkového ovládání počítače. Chyby nulového dne souvisí s problémem s oprávněními v karanténě aplikace Flash Player Firefox a vadou ve funkci ActionScript ExternalInterface, kterou lze využít ke spuštění škodlivého kódu. Třetí, v současné době dosud nevyužívanou chybou, byla chyba zabezpečení přetečení vyrovnávací paměti ve zprostředkovatelské službě Flash Player a mohla být použita ke spuštění škodlivého kódu, řekl Adobe.
Aktualizace se týká všech verzí Flash ve Windows, Mac OS X a Linux. Uživatelé si mohou stáhnout nejnovější verzi z webu Adobe nebo zapnout aktualizace na pozadí a nechat software, aby si verzi automaticky vybral. Google a Microsoft budou aktualizovat Flash v prohlížeči Chrome a Internet Explorer 10 (pro Windows 8) samostatně.
Tato aktualizace Flash je druhou aktualizací pásma mimo aplikaci Flash Player tento měsíc, třetí opravou Adobe v měsíci únoru a čtvrtou takovou opravou vydanou doposud v roce 2013.
Je to už téměř rok, co společnost Adobe zapnula automatické aktualizace pro Flash a Reader, a míra aktualizací byla obrovská, Brad Arkin, senior director security and privacy in Adobe, řekl SecurityWatch na konferenci RSA. Předchozí model, ve kterém byli uživatelé vyzváni ke stažení nejnovějších aktualizací, nebyl dostačující k tomu, aby přiměl uživatele, aby skutečně opravili Flash Player, řekl Arkin. S přechodem na aktualizace na pozadí byla úspěšnost významná.
Chcete-li zobrazit všechny příspěvky z našeho pokrytí RSA, podívejte se na naši stránku Zobrazit zprávy.
