сегодня в 09:24

Компания Adobe выпустила экстренный патч для исправления критических уязвимостей Flash Player

Информационная безопасность*, Adobe Flash*, Блог компании Positive Technologies

В понедельник 28 декабря компания Adobe выпустила экстренное обновление безопасности, закрывающее 19 уязвимостей в продукте Flash Player. Обнаруженные ошибки безопасности могут быть использованы злоумышленниками для исполнения вредоносного кода на компьютере жертвы, получая над ним полный контроль. В зоне риска находятся пользователи Flash Player для всех существующих ОС.

Подробнее о проблеме

В экстренном патче Adobe под кодом APSB16-01 представлены исправления для 19 ошибок безопасности. При этом, компания подтвердила, что одна из 0-day-уязвимостей (CVE-2015-8651) уже эксплуатируется злоумышленниками для проведения узконаправленных атак.

Среди прочего, в числе проблем безопасности ошибки приведения типов (type confusion), целочисленного переполнения, повреждения памяти (memory corruption) и уязвимости типа use-after-free (UAF).

В общей сложности внеочередной патч устраняет 19 различных проблем безопасности, включая 13 уязвимостей, связанных с ошибкой использования после освобождения. Воспользовавшись указанными дырами безопасности злоумышленник может с помощью специально сформированного .swf-файла выполнить произвольный код на целевой системе.

Как защититься

Уязвимости затрагивают следующие версии Flash Player:

Adobe Flash Player Desktop Runtime 20.0.0.235 и более ранние версии;
Adobe Flash Player Extended Support Release 18.0.0.268 и более ранние версии;
Adobe Flash Player для Google Chrome 20.0.0.228 и более ранние версии;
Adobe Flash Player для Microsoft Edge и Internet Explorer 11 20.0.0.228 и более ранние версии;
Adobe Flash Player для Internet Explorer 10 и 11 20.0.0.228 и более ранние версии;
Adobe Flash Player для Linux 11.2.202.554 и более ранние версии;
AIR Desktop Runtime 20.0.0.204 и более ранние версии;
AIR SDK 20.0.0.204 и более ранние версии;
AIR SDK & Compiler 20.0.0.204 и более ранние версии;
AIR для Android 20.0.0.204 и более ранние версии.

Разработчики рекомендуют всем пользователям Flash Player установить обновление. Версии Adobe Flash Player, интегрированные в браузеры Google Chrome, Internet Explorer для Windows 8.x, Microsoft Edge и Internet Explorer для Windows 10, будут обновлены автоматически.

Кроме того, эксперты Positive Technologies рекомендуют использовать специализированные средства защиты от киберугроз — к примеру, система контроля защищенности и соответствия стандартам MaxPatrol 8 позволяет успешно выявлять попытки эксплуатации указанных уязвимостей.

—
5,2k
5

Автор: @ptsecurity

Positive Technologies

рейтинг 229,51

Комментарии (13)

whiplash 30 декабря 2015 в 12:21

Что, опять?

jurok04 30 декабря 2015 в 12:43 (комментарий был изменён)

Не о-пять, а снова. Надо же криптолокеры через эксплойт-паки распространять, вот и стараются, ищут уязвимости.

evil_random 30 декабря 2015 в 14:05

–3

Не посчитайте за занудство, но кому этот Flash Player до сих пор нужен? После того как Youtube научился играть в html5 я его выключил и забыл как страшный сон.

kozyabka 30 декабря 2015 в 14:20

Счел за занудство.

FireWind 30 декабря 2015 в 14:21

lingualeo.ru без flash нормально не работает, сбербанк-онлайн предлагает постоянно flash включить, да и партнерки flash еще активно используют

alexpp 30 декабря 2015 в 14:33

сбербанк-онлайн предлагает постоянно flash включить

На андроиде — антивирус и нежелание работать на руте, в вебе — флеш. Ох уж этот Сбер!

Delphinum 30 декабря 2015 в 15:31

lingualeo.ru без flash нормально не работает

Работает

сбербанк-онлайн предлагает постоянно flash включить

Не просит и работает

TheRabbitFlash 30 декабря 2015 в 16:03

evil_random, а я не смотрю ютуб, но играю в Flash игры в браузере. Какие еще аргументы у Вас будут? Что мне выключить надо? Холодильник или микроволновку?

Semenych 30 декабря 2015 в 14:21

–3

Как у человека которому доводилось как самому делать программные продукты, так и после перехода на темную сторону менеджить их выпуск — у меня есть два риторических вопроса
1. Неужели так сложно найти все уязвимости в одном конкретном не таком уже и большом, на самом деле, продукте? Это ведь не ОС ни разу и даже не MS Office?
2. Вот интересно Adobe понимает что предлагая скачать mcafee они уменьшают количество скачивающих апдейты и вообще заметно уменьшают доверие к продукту?
Ответ у меня есть только один — продукт попал в список не нужных активов и ему уделяется минимальное внимание по схеме — вот вам 3 калеки на сапорт продукта и чтобы больше я о нем ничего не слышал.

Emin 30 декабря 2015 в 14:47

1. Флэш по своей сложности не уступает браузеру. Можно ли найти все уязвимости в браузере?
2. Про безопасность во флеше пишут по причине массовой истерии на тему «Флеш должен умереть!». Соответственно весь негатив относительно флеша активно раскручивается. Например эта новость притянута за уши. Компания Адобы выпустила обновление, в котором закрыла некоторые проблемы с безопасностью. Если бы тоже самое сделал Гугл с Хромом, никто бы не обратил внимание. Или тот же Эппл и Сафари в частности:
1 октября 2015
http://www.macdigger.ru/macall/apple-zakryla-147-uyazvimostej-v-poslednix-obnovleniyax-dlya-ios-os-x-i-safari.html
10 декабря 2015
http://www.macdigger.ru/macall/apple-zakryla-54-uyazvimosti-v-ios-9-2-i-os-x-el-capitan-10-11-2.html

Delphinum 30 декабря 2015 в 15:35

–1

Про безопасность во флеше пишут по причине массовой истерии на тему «Флеш должен умереть!». Соответственно весь негатив относительно флеша активно раскручивается

То есть, на самом деле флешь вполне себе не дырявый, просто все притянуто за уши? ))

Компания Адобы выпустила обновление, в котором закрыла некоторые проблемы с безопасностью. Если бы тоже самое сделал Гугл с Хромом, никто бы не обратил внимание

Давайте называть вещи своими именами, а именно — Адобы выпускает чуть ли не каждую неделю по пачке обновлений, и не известно сколько еще недель это будет продолжаться, при чем все пачки обновлений критические.

TheRabbitFlash 30 декабря 2015 в 15:59

Чем больше выпускают исправлений — тем лучше, т.к. сужают хакерам возможности. Но не только уязвимости «лечат». А то люди-то и не знают, что и баги в плеере устраняют, которые связаны с функционалом.

В обновлении от 28 декабря 2015 года починили:
— Часть текста повреждена при печати из Chrome
— VB6 Fusion Chart не загружается
— Флеш плеер зависает, когда пользователь выбирает контент на beatingtheblues.co.uk
— Данные формата заголовков об ориентации видео с ошибкой

Было бы полезнее публиковать новости на хабре не только для тех, кто специально заходит сюда лишний раз напомнить, что установил Flash Player специально, чтоб его выключить и удалить, а еще и для тех, кто следит за тем, что именно починили (ссылка на исправления в выпуске за 28 декабря 2015.

alexeymalov 30 декабря 2015 в 15:59

Выпустили опять поспешно. Как и в конце сентября с выпуском 19 версии, накосячили в ActiveX версии.
Теперь отломалась загрузка SWF-ок при помощи метода LoadMovie COM-объекта ShockwaveFlash. Причем отломалось от просто «не всегда загружается» до Segmentation Fault-а.
Простейший пример на VBScript (проявляется под Win10 на компе одного из наших тестеров) для воспроизведения проблемы:

Set f = CreateObject("ShockwaveFlash.ShockwaveFlash")
f.LoadMovie 0, "путь или URL до SWF-файла"

Как следствие, перестали работать desktop-приложения, использующие данный ActiveX-компонент.

Будем надеяться, что этот зарепорченный баг будут править несколько быстрее, чем сентябрьский, которые правили три недели. 3 недели, Карл!

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Компания Adobe выпустила экстренный патч для исправления критических уязвимостей Flash Player

Подробнее о проблеме

Как защититься

Похожие публикации

Комментарии (13)

Интересные публикации