:

Szerző: Bodnár Ádám

2010. június 7. 09:58

Kritikus sérülékenység a Flash Playerben

Távoli kódfuttatásra alkalmas biztonsági rést találtak az Adobe Flash Playerben, amely a Reader és Acrobat szoftvereket is érinti.

Az Adobe péntek este figyelmeztetést adott ki, amely szerint kritikus biztonsági rést talált a Flash Playerben, amelyet támadók már aktívan ki is használnak. A sérülékenység minden operációs rendszeren távoli kódfuttatásra nyújt lehetőséget, azaz a Windows mellett a Mac OS X, Linux és UNIX tulajdonosok sincsenek biztonságban. A dán Secunia biztonsági cég a létező legmagasabb fokozatú, "különösen kritikus" kategóriába sorolta a sebezhetőséget.

A vállalat tájékoztatása alapján a Flash Playernek csak a 10.0 és 9.x verziói sérülékenyek, az egyelőre kizárólag béta változatban elérhető Flash Player 10.1-et nem érinti a hiba. A Flash Player 8.x változatok sem támadhatók, bár ezeket ma már aligha használja valaki, a 9.0 verzió is négy éve jelent meg. A Gemius Rankings adatai szerint a hazai internetezők közel 98 százaléka a Flash 10.0 vagy 9.x verzióját használja, azaz a sérülékeny változatokat.

A probléma nem csak a Flash Playert érinti, hanem a Readert és az Acrobatot is, amely lehetővé teszi PDF-be ágyazott Flash tartalom megnyitását. Az authplay.dll állomány letörlése vagy átnevezése védetté teszi a Readert és az Acrobatot, ugyanakkor a felhasználó elveszíti a PDF-be ágyazott Flash funkcionalitást. Ha olyan PDF állományt nyit meg valaki, amely Flasht tartalmaz, hibaüzenetet fog kapni vagy összeomlik a szoftver, írja biztonsági figyelmeztetésében az Adobe.

A sérülékenység kísértetiesen hasonlít egy tavaly júliusban dokumentált hibához, amely szintén a Flash Playert, a Readert és az Acrobatot érintette. Akkor az Adobe egy héten belül kiadta a szükséges frissítéseket. Hogy a most felfedezett hibára mikor jön javítás, nem tudni. Az Adobe a Microsofthoz hasonlóan minden hónap második keddjén teszi közzé a szoftverfrissítéseit. A legközelebbi "patch kedd" június 8-án, azaz holnap lesz, de hogy addigra elkészüljön a javítás az szinte kizárt. A vállalat valószínűleg soron kívüli frissítést fog kiadni.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról