Firma Adobe, podobnie jak Microsoft, opublikowała wczoraj biuletyny zabezpieczeń:

• APSB13-01 usuwa lukę w oprogramowaniu Flash Player i środowisku AIR (Adobe Integrated Runtime). Luka ta umożliwia atakującemu przejęcie kontroli nad podatnym systemem i występuje na różnych platformach - szczegóły w tabeli poniżej.
• APSB13-02 likwiduje w sumie aż 27 różnych luk w programach Adobe Reader i Adobe Acrobat. Najpoważniejsze z nich pozwalają na zdalne wykonanie złośliwego kodu, poprawki nie należy więc bagatelizować.

Co do rankingu ważności, to według zaleceń Adobe łatki oznaczone jedynką należy zainstalować najszybciej, jak się da. Z instalacją „dwójek” możemy poczekać nawet miesiąc (firma nie odnotowała ataków z wykorzystaniem łatanych podatności). „Trójki” instalujemy według własnego uznania.

Luka w Shockwave nadal straszy

Nie tylko Microsoft - wydając poprawki - pomija luki, które wymagają załatania. W przypadku Adobe na uwagę zasługuje znana od dwóch lat usterka w programie Shockwave Player, który de facto jest wtyczką podobną do Flash Playera, tyle że coraz rzadziej wykorzystywaną w przeglądarkach. Aby sprawdzić, czy mamy ją na swoim komputerze, wystarczy odwiedzić stronę Adobe. Jeżeli mamy, to mamy też problem, o którym w grudniu przypomniał US-CERT.

Chodzi o to, że Shockwave wykorzystuje własną wersję środowiska wykonawczego Flash zamiast zainstalowanego globalnie. Umożliwia to atakującemu wykonanie dowolnego kodu na poziomie uprawnień użytkownika, który odtworzy specjalnie spreparowaną zawartość. Atakujący może w ten sposób zainstalować w systemie starszą (bardziej podatną na atak) wersję Flash Playera.

Dlaczego luki wciąż nie załatano? Wiebke Lips, rzeczniczka prasowa Adobe, argumentuje, że firma nie odnotowała dotąd żadnego ataku z wykorzystaniem tej podatności, nie jest więc ona tak niebezpieczna, jak się wydaje. Wiele wskazuje na to, że w lutym doczekamy się jednak odpowiedniej aktualizacji.