Deja vu z udziałem Adobe, czyli pilnie załataj Flash Playera - aktualizacja

28-01-2015, 11:04

Aktualizowałeś już w tym miesiącu multimedialną wtyczkę do przeglądarek od Adobe? Nie szkodzi! Analitycy zagrożeń zadbali, żebyś mógł to zrobić jeszcze raz.

Dwa tygodnie temu firma Adobe wydała aktualizację usuwającą 9 luk we Flash Playerze. Niedługo potem otrzymała informację o nieznanym wcześniej błędzie, który został oznaczony jako CVE-2015-0310 i pozwalał atakującemu m.in. na ominięcie w systemie Windows mechanizmu ASLR (ang. Address Space Layout Randomization, co można przetłumaczyć jako losowy rozkład przestrzeni adresowej).

Jak ustalili badacze, luka ta jest już aktywnie wykorzystywana w atakach typu drive-by download. Słyszeliście o tzw. exploit packach - zestawach skryptów służących do przeprowadzania (zwykle niezamawianych) testów penetracyjnych systemu? Jeden z nich, o nazwie Angler Exploit Kit, został wyposażony w możliwość wykorzystania tej właśnie luki.

Eksperci z Adobe szybko przygotowali łatkę i udostępnili ją we czwartek, 22 stycznia, wraz z biuletynem APSB15-02. Aktualizowała ona Flash Playera do wersji 16.0.0.287 (w przypadku Adobe Flash Player Extended Support Release'a - do wersji 13.0.0.262, a linuksową edycję - do 11.2.202.438).

To niestety nie wystarczyło. Ze względu na kolejną ujawnioną lukę (CVE-2015-0311), która pozwala na zdalne wykonanie dowolnego kodu, Adobe musiała przygotować na nowo wydany wcześniej biuletyn APSA15-01. Zrobiła to w sobotę, 24 stycznia, zresztą dwa dni wcześniej, niż zapowiadała. W tym przypadku Flash Player aktualizowany jest do wersji 16.0.0.296 - na atak, jak zwykle, najbardziej podatni są użytkownicy Windowsa i OS X. Sugeruję zainstalować tę łatkę jak najszybciej.

Aktualizacja

Firma Adobe opracowała kolejny biuletyn zabezpieczeń, oznaczony jako APSB15-03. Likwiduje on dwie luki: wspomnianą wyżej CVE-2015-0311 oraz CVE-2015-0312, o której na razie wiadomo tylko tyle, że pozwala na wykonanie kodu. Poniżej zamieszczam ranking ważności:

Ranking ważności poprawek od Adobe

Łatka aktualizuje Flash Playera do wersji 16.0.0.296 (także w przeglądarkach Google'a i Microsoftu), w przypadku Adobe Flash Player Extended Support Release'a - do wersji 13.0.0.264, a linuksową edycję - do 11.2.202.440.

Czytaj: Jak bezpieczniej korzystać z internetu dzięki Click-to-Play


Przepisy na coś słodkiego z kremem Nutella
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy