Adobe korjaa flash-virheitä, hyökkääjät kohdistuvat Firefox-käyttäjiin

Adobe korjasi kolme uutta tietoturvavirhettä lähes kaikkialla olevaan Flash Playeriin, joista kahta oli jo hyödynnetty luonnossa. Hyökkääjät kohdistuivat erityisesti Mozilla Firefox -käyttäjiin, yritys kertoi.

Kahta nolla päivän haavoittuvuutta, CVE 2013-0643 ja CVE 2013-0648, käytettiin hyväksi kohdennetuissa hyökkäyksissä, joissa käyttäjiä huijataan napsauttamaan linkkiä verkkosivustolle, joka ylläpitää haitallisia Flash-tiedostoja, Adobe sanoi tiistaina julkaistussa turvallisuusohjeessaan. Yhtiö ei antanut luottoa yhdellekään organisaatiolle tai tutkijalle, joka löysi nollapäivän haavoittuvuuksia, mutta luotti IBM X-Force -yrityksen kolmannen tietoturva-aukon ilmoittamisesta.

Adobe RSA -konferenssin tietoturvainsinöörit kieltäytyivät myös toimittamasta lisätietoja.

"Cve 2013-0643: n ja CVE 2013-0648: n hyväksikäyttö on suunniteltu kohdistamaan Firefox-selain", Adobe sanoi ohjeessa.

Hyökkääjät voivat laukaista haavoittuvuudet, jotta Flash Player kaatuu ja saada tietokoneen etähallinnan, Adobe sanoi. Nollapäivän virheet liittyvät Flash Player Firefox -hiekkalaatikon käyttöoikeuskysymykseen ja virheeseen ExternalInterface ActionScript -ominaisuudessa, jota voidaan hyödyntää haitallisen koodin suorittamiseksi. Kolmas, jota ei vielä hyödynnetä, vika oli puskurin ylivuodon haavoittuvuus Flash Player -välityspalvelussa ja sitä voidaan käyttää haittakoodin suorittamiseen, Adobe sanoi.

Päivitys koskee kaikkia Flash-versioita Windowsissa, Mac OS X: ssä ja Linuxissa. Käyttäjät voivat ladata uusimman version Adobe-verkkosivustolta tai ottaa taustapäivitykset käyttöön ja antaa ohjelmiston tarttua versioon automaattisesti. Google ja Microsoft päivittävät Flashin Chromessa ja Internet Explorer 10: ssä (Windows 8) erikseen.

Tämä Flash-päivitys on Flash-Playerin toinen kaistan ulkopuolella oleva korjaus tässä kuussa, kolmas Adobe-korjaus helmikuussa ja neljäs tällainen korjaus, joka on julkaistu vuonna 2013.

On kulunut melkein vuosi siitä, kun Adobe on ottanut käyttöön automaattiset päivitykset Flashille ja Readerille, ja päivitysprosentti on ollut valtava, Adoben vanhempi johtaja Brad Arkin kertoi SecurityWatchille RSA-konferenssissa. Edellinen malli, jossa käyttäjiä kehotettiin lataamaan uusimmat päivitykset, eivät riittäneet saamaan käyttäjiä korjaamaan Flash Playeria, Arkin sanoi. Siirtyessä taustapäivityksiin onnistumisaste on ollut merkittävä.

Katso kaikki RSA-kattavuutemme viestit tarkistamalla Näytä raportit -sivumme.