Wiadomości
Dwie luki zero-day we Flash Playerze
12 grudnia 2011 11:03,
Antoni Steliński
W zabezpieczeniach aplikacji Adobe Flash Player znaleziono dwa poważne błędy, umożliwiające uruchomienie złośliwego kodu. Problem wykryli pracownicy rosyjskiej firmy Intevydis, którzy nie zdecydowali się jednak na poinformowanie o nim Adobe.
Polecamy:
Producent dziurawej aplikacji - koncern Adobe - dowiedział się o błędach dopiero teraz, po powstaniu exploitów i poinformowaniu o tym mediów. To efekt przyjętej przed dwoma laty przez Intevydis polityki, w myśl której firma nie informuje producentów oprogramowania o błędach znalezionych w ich produktach. Dodajmy, że podobnie działa również francuska firma Vupen, która informacje o nowych lukach udostępnia wyłącznie swoim klientom.
Z informacji dostarczonych przez Intevydis wynika, że obie luki we Flash Playerze są wyjątkowo niebezpieczne, ponieważ umożliwiają m.in. obejście wbudowanych do Windows i Internet Explorera zabezpieczeń (ASLR i sandbox), które teoretycznie powinny chronić system przed atakiem przeprowadzonym przez lukę we wtyczce do przeglądarki. Problem nie dotyczy tylko wersji dla Windows - Rosjanie zapowiadają, że wkrótce powinien pojawić się exploit działający również na Mac OS X.
Atak na system można przeprowadzić podsuwając użytkownikowi odnośnik do strony WWW lub dokument PDF zawierające odpowiednio zmodyfikowaną zawartość Flash. Na atak podatne są również aplikacje Adobe Reader oraz Acrobat - ponieważ zawierają one przeniesiony z Flash Playera komponent do obsługi Flasha.
Przedstawiciele Adobe na razie nie komentują tych doniesień, nie wiadomo więc czy i kiedy firma udostępni poprawki. Rzecznik Intevydis twierdzi, że użytownicy nie są zagrożeni, ponieważ z rozwijanego przez firmę narzędzia do testów korzystają wyłącznie specjaliści ds. bezpieczeństwa (którzy zobligowani są do przestrzegania ściśle określonych zasad używania exploitów).
Komentarze (0)
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
- Serwery "zombie" w centrum danych
- Microsoft Office 15 będzie obsługiwał standard ODF 1.2
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...