Po tym jak Adobe w poniedziałek opublikował informację o istnieniu luki zero-day w odtwarzaczu Flash Player, która umożliwia przeprowadzenie ataku przy użyciu odpowiednio spreparowanego pliku Excel, Google we wtorek wydał aktualizacje przeglądarki Chrome, w której ten problem został wyeliminowany. Tak szybka reakcja jest efektem ścisłej współpracy Adobe z Google, która trwa od kwietnia 2010. Na mocy umowy spisanej pomiędzy dwoma gigantami, Adobe udostępnia nowe wersje oprogramowania Flash programistą Google w celu testów i późniejszej integracji.
Często w tej sytuacji zdarza się, że przeglądarka od Google pracuje z najnowszą wersją Flasha, zanim jeszcze jest ona dostępna do pobrania przez użytkowników innych przeglądarek internetowych. I tak jest i w tym przypadku. Firefox, Safari, IE oraz Opera muszą czekać na oficjalne udostępnienie najnowszej wersji Flasha, a tymczasem Chrome już teraz pracuje z wersją 10.2.154.25 programu Flash Player.
Najnowszą wersję Chrome oznaczoną numerem 10.0.648.134 można pobrać ze stron producenta odpowiednio dla systemu: Windows, Linux, Mac OS X.
Użytkownicy, którzy już korzystają z przeglądarki Chrome mogą, a nawet powinni skorzystać z opcji automatycznych aktualizacji.
Categories: Bezpieczeństwo, Internet, Komputery, Sieci, Software Tags: Adobe, Bezpieczeństwo, Chrome, excel, firefox, flash player, google, IE, Opera, Safari, zero-day
Adobe po raz kolejny ma problem z bezpieczeństwem swoich produktów. Tym razem problem, jak nie trudno się domyślić, dotyczy luki w w Flash Playerze. Producent potwierdził w tym tygodniu, że w ich produkcie istnieje poważny błąd związany z bezpieczeństwem i jest on wykorzystywany przez cyberprzestępców. Do ataków wykorzystywany jest plik Excel, w którym osadzony jest obiekt Flash. W chwili obecnej atak w takiej formie ma dość mały zasięg działania. Należy jednak pamiętać, że sposób ataku z wykorzystaniem powszechnie zaufanych plików Excel może dość szybko stać się potężną bronią w rękach hakerów. W efekcie skutecznie przeprowadzonego ataku, cyberprzestępca może przejąć kontrolę nad systemem. Do tej pory Adobe nie otrzymało informacji o podatności na atak programu Adobe Reader oraz Adobe Creator.
Producent programu zapowiada wydanie poprawek dla Flasha, Adobe Readera oraz Adobe Creatora w przyszłym tygodniu. Wydana aktualizacja bezpieczeństwa uszczelni kod, który umożliwia zamieszczanie obiektów Flash w dokumentach PDF.
Aktualizacji nie zostanie natomiast poddany Reader X. Twórcy programu twierdzą, że mechanizm sandbox wbudowany w najnowszą przeglądarkę plików PDF skutecznie niweluje ryzyko ataku przeprowadzonego z użyciem luki w platformie Flash. Dodatkowym argumentem za pominięciem Readera X w cyklu aktualizacji jest możliwość opóźnienia prac nad wydaniem poprawek dla programów Flash oraz Adobe Reader.
Billy Rios, inżynier zajmujący się sprawami bezpieczeństwa, pracujący dla Microsoftu na swoim blogu opublikował informację, jakoby miał znaleźć sposób na ominięcie zabezpieczeń sandbox zastosowanych w Adobe Flash Player. W tym celu został użyty specjalnie przygotowany plik SWF, za pośrednictwem którego atakujący może uzyskać dostęp do plików. Sandbox na chwilę obecną ograniczył dostęp do plików do poziomu sieci lokalnej.
Rios jednak zaznaczył, że to kwestia czasu, aż ktoś znajdzie protokół, który nie jest wpisany na czarną listę sandboxa i w ten sposób będzie mógł przejąć kontrolę nad systemem z poziomu globalnej sieci.
Rzecznik Adobe poinformował o zakwalifikowaniu wykrytej luki w zabezpieczeniach jako umiarkowanej. Według Adobe:
Osoba atakująca musiałaby w pierwszej kolejności uzyskać prawa dostępu do systemu plików atakowanej maszyny w celu umieszczania w nim specjalnie spreparowanego pliku(…) W większości przypadków nie da się uruchomić pliku SWF poprzez dwukrotne kliknięcie; użytkownik musi sam uruchomić plik w aplikacji.
Wczoraj w godzinach popołudniowych na blogu Adobe pojawiła się informacja o wykryciu kolenej luki w zabezpieczeniach programów Adobe Acrobat i Acrobat Reader, którą można określić jako krytyczną. Problem dotyczy najnowszych wersji programów, czyli gałęzi 9.2 oraz wcześniejszych z zainstalowanymi najnowszymi aktualizacjami. Wiadomo także, że luka już teraz jest wykorzystywana do ataku na komputery nieświadomych użytkowników oraz, że Adobe wciąż nie opracował stosownej łatki, która rozwiązałby problem. Z informacji na blogu można również dowiedzieć się, że informacja o luce wpłynęła do Adobe od firmy zewnętrznej, która jest jedynie kontrahentem twórcy Acrobata i Adobe Readera zajmującym się kwestiami bezpieczeństwa produktów Adobe.
Firma zobowiązała się wkrótce opublikować szersze informacje na temat wykrytej luki oraz jak najszybciej przygotowac stosowną poprawkę. Nie wiadomo również, czy poprawka zostanie udostępniona w normalnym cyklu, czyli w połowie stycznia, czy wcześniej.
Adobe wypuścił kolejną poprawkę do swojej stabilnej wersji Flash Playera. Najnowsza odsłona eliminuje kilka znanych podatności na przeprowadzenie ataku. Luki umożliwiały zawieszenie Flasha, a także wykonanie dowolnego kodu na komputerze ofiary co mogło doprowadzić do przejęcia całkowitej kontroli nad maszyną. Kolejne poprawki dotyczyły luki umożliwiającej wstrzyknięcie danych , błąd parsowania danych JPEG oraz błędy w dostępie do pamięci.
Wysoce zalecana jest aktualiacja oprogramowania Flash na komuterach do najnowaszej wersji oznaczonej numerem 10.0.42.34.
O tym, że Adobe pracuje nad rewolucyjnym Flashem oznaczonym jako 10.1, który ma się również uruchamiać na platformach mobilnych informowałem jakiś czas temu. Najnowszy Flash tworzony jest również z myślą o coraz popularniejszych platformach mobilnych takich jak Windows Mobile, BlackBarry OS, Android czy Symbian, ma zapewniać wsparcie dla sprzętowej akceleracji grafiki 2D i 3D oraz strumieni wideo. Teraz Adobe postanowił oddać w ręce użytkowników wersję beta Flasha. Na stronie Adobe Labs producent zachęca do instalowania wersji rozwojowej swojego oprogramowania i korzystania z niej, aby w ten sposób pomóc w wyeliminowaniu jak największej ilości błędów oraz wprowadzeniu usprawnień. Wersja beta Flasha 10.1 jest dostępna dla systemów Linux, Windows i Mac OS X działających na architekturze 32-bitowej. Niestety architektura 64-bitowa wciąż w oczach Adobe nie jest warta uwagi.
Wersję beta Flash 10.1 można pobrać tutaj.
Wyjątkowo chyba nie będę zachęcał do testowania najnowszego produktu Adobe. Osobiście jestem entuzjastą nowości i bardzo chętnie uczestniczę w beta testach, ale do produktów Adobe nie mam zaufania ze względu na powszechnie znane problemy z bezpieczeństwem. Jeżeli wersje stabilne oprogramowania Flash są pełne luk w zabezpieczeniach (ostatnio wykryto kolejną), a sam Adobe nic sobie z tego nie robi, to nawet nie chce wiedzieć jaka jest jakość wersji beta oprogramowania ze stajni Adobe.
Specjaliści z firmy Foreground Security poinformowali o wykryciu luki pozwalającej na zamieszczanie szkodliwych obiektów Flash na stronach internetowych za pomocą prostych formularzy do przesyłania plików na serwer. Okazuje się, że luka omija zabezpieczenie opierające się na zasadzie identycznego pochodzenia, która blokuje potencjalnie niebezpieczne elementy pochodzące z innej strony, niż aktualnie wyświetlona. Adobe obarcza winą twórców stron internetowych, którzy umożliwiają umieszczanie aplikacji internetowych w ich oryginalnej domenie.
Dyrektor ds. bezpieczeństwa produktów Adobe zwraca uwagę na fakt, iż problem dotyczy nie tylko stron korzystających z technologii Flash, ale i Java Script i Silverlighta, co powoduje, że jedynym i najszybszym sposobem na wyeliminowanie błędu jest poinformowanie o nim webmasterów, którzy dzięki modyfikacji kodu, mogliby zapobiec niebezpieczeństwu.
Rozwiązanie jednak nie jest tak oczywiste jak wskazuje Adobe. Specjaliści z Foreground Security wskazują pewne niedociągnięcia takiego rozwiązania problemu. Jednym z nich jest fakt, że wielu administratorów serwisów nie zdaje sobie sprawy z konieczności wprowadzania zmian. Jako przykład można podać stronę Adobe, która na atak z wykorzystaniem opisywanej luki jest podatna.
Jak widać Adobe może za chwilę zostać przyparty do muru. Nie jest dobrym rozwiązaniem wypinanie się na użytkowników, każąc im tworzyć takie aplikacje, które nie będą podatne na ataki przeprowadzone przez błędy ukryte w samym silniku, który te aplikacje ma obsługiwać.
Na 13 października bieżącego roku Adobe zaplanował wydanie łat dla swoich produktów, o czym informował w czwartym już w tym roku biuletynie zabezpieczeń. Najważniejsza łata będzie usuwała krytyczną lukę wykrytą w programach Adobe Reader 9.1.3 oraz Acrobat 9.1.3, która pozwala na wykonanie zdalnie kodu za pośrednictwem specjalnie spreparowanego pliku PDF. Problem nie dotyczy użytkowników korzystających z mechanizmu DEP uruchomionego na systemie Windows Vista. Według specjalistów również wyłączenie obsługi JavaScript może uchronić przed atakiem z wykorzystaniem wskazanej luki, chociaż nie wykluczają, że atak jest możliwy również bez wykorzystania JavaScript. Do wydania poprawek Adobe zaleca korzystanie z antywirusów z zaktualizowanymi bazami sygnatur.
Kompletna lista oprogramowania, które zostanie zaktualizowane znajduje się poniżej;
- Adobe Reader 9.1.3 i Acrobat 9.1.3 dla Windows, Macintosh oraz UNIX
- Adobe Reader 8.1.6 i Acrobat 8.1.6 dla Windows, Macintosh oraz UNIX
- Adobe Reader 7.1.3 i Acrobat 7.1.3 dla Windows i Macintosh
Na 13 października zaplanowane jest również wydanie poprawek dla systemów Windows. Zanosi się więc na wtorek pod znakiem aktualizacji oprogramowania na naszych kalkulatorach:-)
Informatyk z wykształcenia pracujący w Departamencie Logistyki. Pasjonat książek historycznych, niecierpiący próżności... Moje motto życiowe: "Aktywnie spędzać czas, tak aby nie żałować żadnej przeżytej chwili".
