Video: How to Enable Flash in Firefox (Oktober 2024)
De to nul-dages sårbarheder, CVE 2013-0643 og CVE 2013-0648, blev udnyttet i målrettede angreb, hvor brugerne blev narret til at klikke på et link til et websted, der indeholder ondsindede Flash-filer, sagde Adobe i sin sikkerhedsrådgivning, der blev frigivet tirsdag. Virksomheden krediterede ikke nogen organisation eller forsker, der fandt nul-dages sårbarheder, men krediterede IBM X-force for at have rapporteret det tredje sikkerhedshul.
Adobes sikkerhedsingeniører på RSA-konferencen afviste også at give yderligere oplysninger.
”Udnyttelsen til Cve 2013-0643 og CVE 2013-0648 er designet til at målrette Firefox-browseren, ” sagde Adobe i det rådgivende.
Angribere kan udløse sårbarhederne for at få Flash Player til at gå ned og få fjernbetjening af computeren, sagde Adobe. Nul-dages bugs er relateret til et tilladelsesproblem med Flash Player Firefox sandkasse og en fejl i funktionen ExternalInterface ActionScript, som kan udnyttes til at udføre ondsindet kode. Den tredje bug, der i øjeblikket endnu ikke er udnyttet, var en sårbarhed med bufferoverløb i en Flash Player-mæglerservice og kunne bruges til at udføre ondsindet kode, sagde Adobe.
Opdateringen påvirker alle versioner af Flash på Windows, Mac OS X og Linux. Brugere kan downloade den nyeste version fra Adobes websted eller tænde for baggrundsopdateringer og lade softwaren gribe versionen automatisk. Google og Microsoft opdaterer Flash på Chrome og Internet Explorer 10 (til Windows 8) separat.
Denne Flash-opdatering er den anden out-of-band-patch til Flash Player denne måned, den tredje Adobe-patch i februar måned, og den fjerde sådan patch, der blev frigivet i 2013 indtil videre.
Det er næsten et år siden Adobe har tændt for automatiske opdateringer til Flash og Reader, og opdateringsfrekvensen har været enorm, fortalte Brad Arkin, senior direktørs sikkerhed og privatliv hos Adobe, til SecurityWatch på RSA-konferencen. Den tidligere model, hvor brugerne blev bedt om at downloade de nyeste opdateringer, var ikke tilstrækkelige til at få brugerne til at faktisk lave Flash Player, sagde Arkin. Med skiftet til baggrundsopdateringer har succesraten været betydelig.
For at se alle indlæg fra vores RSA-dækning, tjek vores side Vis rapporter.
