Adobe виправляє флеш-помилки, зловмисники націлені на користувачів Firefox

Adobe виправила три нові недоліки безпеки у своєму майже всюдисущому Flash Player, два з яких уже експлуатувалися в дикій природі. Зловмисники спеціально орієнтувались на користувачів Mozilla Firefox, повідомляє компанія.

Дві вразливості з нульовим днем, CVE 2013-0643 та CVE 2013-0648, використовувались під час цілеспрямованих атак, коли користувачі підманювали натискання на посилання на веб-сайт, на якому розміщені шкідливі файли Flash, повідомляє Adobe у своїх рекомендаціях щодо безпеки, опублікованих у вівторок. Компанія не надала кредиту жодній організації чи досліднику, які виявили вразливі нульові дні, але зараховували IBM X-force за повідомлення про третю дірку безпеки.

Інженери безпеки Adobe на конференції RSA також відмовилися надавати будь-яку додаткову інформацію.

"Експлуатація для Cve 2013-0643 та CVE 2013-0648 призначена для орієнтації на браузер Firefox", - зазначив Adobe в дорадчій справі.

Зловмисники можуть спровокувати вразливість, спричинити збій Flash Player та отримати дистанційне управління комп'ютером, вважає Adobe. Помилки з нульовим днем ​​пов’язані з проблемою дозволів із пісочницею Flash Player Firefox та недоліком функції ExternalInterface ActionScript, яку можна використовувати для виконання шкідливого коду. Третя, наразі ще не експлуатується, помилка була вразливістю до переповнення буфера в службі брокера Flash Player, і вона може бути використана для виконання шкідливого коду, сказав Adobe.

Оновлення впливає на всі версії Flash у Windows, Mac OS X та Linux. Користувачі можуть завантажувати останню версію з веб-сайту Adobe або вмикати фонові оновлення та нехай програмне забезпечення автоматично схоплює версію. Google та Microsoft оновлять Flash на Chrome і Internet Explorer 10 (для Windows 8) окремо.

Це оновлення Flash - це другий виправлений патч для Flash Player цього місяця, третій патч Adobe в лютому, а четвертий патч випущений у 2013 році до цього часу.

Минуло майже рік, як Adobe включила автоматичні оновлення для Flash і Reader, і швидкість оновлення була надзвичайною, заявив Брейд Аркін, старший директор з безпеки та конфіденційності в Adobe, сказав SecurityWatch на конференції RSA. Попередня модель, у якій користувачам було запропоновано завантажити останні оновлення, було недостатньо, щоб користувачі фактично виправили Flash Player, сказав Аркін. З переходом до фонових оновлень рівень успішності був значним.

Щоб переглянути всі публікації з нашого висвітлення RSA, перегляньте нашу сторінку Показати звіти.