Újabb Flash 0-dayt javított az Adobe
23 súlyos hibát foltozott be a Flash futtatómotorján az Adobe. Az egyik még a javítás előtt használatba került, de a sérülékenységet felfedező Kaspersky szerint egyelőre csak kevés esetben.
Méretes javítócsomagot adott ki az Adobe a Flash lejátszóhoz. A frissítés 23, távoli kódfuttatásra kihasználható sérülékenységet javít, egyiket az azt felfedező Kaspersky Lab támadók szűk körben ugyan, de aktívan használják, ezért a javítások telepítése minél előbb ajánlott. A hibákat jelentő szakemberek széles körből kerültek ki, a szokásos HPE-s, project zerós és kasperskys jelentések mellett például a kínai nagy webes szolgáltatók (Alibaba, Tencent) biztonsági csapatai is letett néhányat az asztalra.
A legfontosabb hiba az eddigi információk szerint a CVE-2016-1010 jelzésű, ami egy integertúlcsordulásos sérülékenység, és a Kaspersky Lab szerint nulladik nap (zero day) súlyosságú, azaz már a javítás elkészülte és kiadása előtt felhasználásra került támadásokban. A biztonsági cég azt mondta, kutatói eddig csak "nagyon szűk körben" észlelték a használatát, és egyelőre nem akarnak több részletet megosztani róla, mert a vizsgálatot még nem zárták le. Az Adobe szerint a többi 22 hiba nem került idő előtt rossz kezekbe (vagy legalábbis kihasználásukat biztonsági szakemberek eddig nem észlelték).
2025: neked mennyi pénzt ér meg a home office? Itt vannak az IT munkaerőpiaccal kapcsolatos 2025-ös prognózisaink.
A frissítéseket a szokásos módon lehet telepíteni. A Chrome-ot a Google, az Internet Explorer 11-et és az Edge-et a Microsoft frissíti a javított Flash modullal, egyéb esetekben pedig az Adobe oldaláról lehet letölteni a legújabb verziót, ha a lejátszó automatikus frissítése nincs engedélyezve.
Kell még egyáltalán?
Az Adobe a biztonsági kritikák állandó össztüze és az IAB nyomása közepette tavaly decemberben jelentette be, hogy fokozatosan HTML5-re cseréli a Flash-t, a márkanevet pedig szintén kivezeti (így született az Animate CC). Ugyan az iparág gyors ütemben áll át a Flash-ről (erre elég nagy motivációt ad a Google nyáron életbe léptetett "Flash-gyilkos" döntése"), bőven akadnak még oldalak, ahol a technológia fontos szerepet tölt be.
Ilyen például a Facebook is, ahol a videók már HTML5-alapúak, de a játékoknál még nem érett meg a váltás. Mivel a sokáig a web egyik pillérét képező Flash nem fog csak úgy, egyik napról a másikra eltűnni, a biztonsági sérülékenységekben leginkább érintett Facebook, Google és Microsoft vállalta, hogy a probléma fennállásáig folyamatosan segíteni fog az Adobe-nak a Flash utóéletének gondozásában.
Mi mindenesetre azt tanácsoljuk, hogy aki úgy érzi, nem létszükséglet számára a lejátszó, deaktiválja azt vagy távolítsa el a gépéről – de legalábbis állítsa a lejátszás elindítását manuálisra, és jól nézze meg, mely oldalakon kapcsolja be.