Adobe מתדבק באגים, תוקפים ממוקדים למשתמשים של Firefox

אדובי תיקן שלושה פגמי אבטחה חדשים בנגן הפלאש כמעט-נמצא שלה, מתוכם שניים כבר נוצלו בטבע. התוקפים כיוונו באופן ספציפי למשתמשי מוזילה פיירפוקס, אמרו בחברה.

שתי הפגיעות של אפס יום, CVE 2013-0643 ו- CVE 2013-0648, מנוצלו בהתקפות ממוקדות בהן משתמשים הוחלפו ללחוץ על קישור לאתר שמארח קבצי פלאש זדוניים, כך מסר אדובי במודיעין האבטחה שלה שפורסם היום (ג '). החברה לא זיכתה זיכוי באף ארגון או חוקר שמצאו את הפגיעויות של יום האפס, אך זיכתה את כוח ה- X X של IBM על דיווח על חור האבטחה השלישי.

מהנדסי האבטחה של אדובי בכנס RSA סירבו לספק כל מידע נוסף.

"הניצול עבור Cve 2013-0643 ו- CVE 2013-0648 נועד למקד לדפדפן פיירפוקס, " אמרה אדובי במועצה.

התוקפים עלולים לעורר את הפגיעויות שיגרמו להתרסקות נגן Flash ולהשיג שליטה מרחוק על המחשב, אמרה אדובי. באגים של יום אפס קשורים לבעיית הרשאות עם ארגז החול של Firefox Player Firefox וליקוי בתכונה ExternalInterface ActionScript, אותה ניתן לנצל לביצוע קוד זדוני. השלישי, שעדיין טרם נוצל, הבאג היה פגיעות של הצפת מאגר בשירות המתווך של Flash Player, וניתן להשתמש בו לביצוע קוד זדוני, כך מסר אדובי.

העדכון משפיע על כל גרסאות ה- Flash במערכת Windows, Mac OS X ו- Linux. משתמשים יכולים להוריד את הגרסה האחרונה מאתר אדובי, או להפעיל עדכוני רקע ולאפשר לתוכנה לתפוס את הגירסה אוטומטית. גוגל ומיקרוסופט יעדכנו את Flash ב- Chrome וב- Internet Explorer 10 (עבור חלונות 8) בנפרד.

עדכון פלאש זה הוא התיקון השני מחוץ ללהקה עבור נגן פלאש החודש, תיקון ה- Adobe השלישי בחודש פברואר, והרביעית תיקון כזה שיצא בשנת 2013 עד כה.

כמעט שנה עברה כי אדובי הפעילה עדכונים אוטומטיים עבור Flash ו- Reader, וקצב העדכון היה אדיר, כך אמר בראד ארקין, מנהל אבטחה ופרטיות בכיר ב- Adobe, ל- SecurityWatch בכנס RSA. הדגם הקודם בו התבקשו המשתמשים להוריד את העדכונים האחרונים לא הספיק בכדי לגרום למשתמשים לתקן בפועל את נגן הפלאש, אמר ארקין. עם המעבר לעדכוני רקע, שיעור ההצלחה היה משמעותי.

כדי לראות את כל הפוסטים מכיסוי ה- RSA שלנו, עיין בדף הצג דוחות.