Zaktualizowałeś już Flash Player? Jeśli nie, możesz stracić konto na Instagramie, eBayu

12-07-2014, 15:50

...a także w innych serwisach korzystających z JSONP, które nie wprowadziły jeszcze poprawek w kodzie źródłowym swoich stron.

Biuletyn zabezpieczeń wydany w tym tygodniu przez Adobe likwiduje trzy podatności, w tym lukę znaną jako Rosetta Flash (CVE-2014-4671), szczegółowo opisaną na blogu Michele Spagnuolo z firmy Google. Luka ta wykorzystuje możliwość przekształcania plików SWF z postaci binarnej do alfanumerycznej. Odwiedzenie specjalnie przygotowanej strony pozwala atakującemu przejąć konta, do których zalogowana jest w danym momencie ofiara.

Czy zawsze? Nie, tylko jeśli serwis używa JSONP („JSON with padding”, który umożliwia pobieranie danych z innej domeny) i nie pofatygował się wprowadzić do kodu zalecanych przez ekspertów poprawek. Nie powinniśmy się więc niczego obawiać, korzystając z Google'a czy Twittera, Ars Technica podaje, że również Tumblr został już załatany. Nadal jednak wiele serwisów (w tym tak popularnych, jak Instagram czy eBay) nie poprawiło kodu na swoich stronach, dlatego nie należy zwlekać z aktualizacją Flash Playera.

Szczegóły techniczne dotyczące wykorzystania luki można znaleźć w Niebezpieczniku, poniżej natomiast zamieszczamy ranking ważności poprawek udostępnionych w ramach biuletynu APSB14-17 - jak widać, zagrożeni są nie tylko użytkownicy Windowsa:

Ranking ważności poprawek udostępnionych w lipcu przez Adobe

Według zaleceń producenta aktualizacje oznaczone jedynką należy zainstalować najszybciej, jak się da. Z instalacją „dwójek” (których w tym zestawieniu akurat nie ma) możemy poczekać nawet miesiąc, ponieważ firma nie odnotowała ataków z wykorzystaniem usuwanych w danym miesiącu luk. „Trójki” instalujemy według własnego uznania.

Flash Player można zaktualizować na polecanej przez producenta witrynie. Jeśli jednak nie chcemy żadnych dodatków (takich jak np. McAfee Security Scan Plus), warto skorzystać ze strony Adobe Flash Player Distribution.

Zobacz także: Co trzeba wiedzieć o wydanych w lipcu biuletynach zabezpieczeń Microsoftu


Przepisy na coś słodkiego z kremem Nutella
  
znajdź w serwisie

RSS  
RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy