markasblog

Wczoraj Adobe wydał poprawki dla 29 luk w zabezpieczeniach dla programu Adobe Reader oraz 13 poprawek dla programu Flash w ramach kwartalnego łatania swoich produktów.

Prawie wszystkie błędy załatane w programie Adobe były oznaczone jako krytyczne, co oznaczało, że była możliwa zdalna instalacja złośliwego oprogramowania na niezałatanym systemie. Dwa z błędów pozwalały na przeprowadzenie ataku XSS (cross-site scripting). Jeden błąd dotyczył tylko i wyłącznie systemu Windows. Prawie połowa błędów dotyczyła kodu parsowania czcionki, zdjęć i grafiki 3D.

Zaktualizowane wersje programu Adobe Reader to 8.2.6, 9.4.2 oraz 10.0.1 dla systemów Windows oraz Mac OS X. Niestety użytkownicy systemów z rodziny Linux muszą poczekać do 28 lutego na wydanie wersji dla ich systemów.

Należy pamiętać o tym, że Adobe Reader X jest wyposażony w mechanizm sandbox, który skutecznie izoluje wszelkie zagrożenia będące efektem luk w zabezpieczeniach programu od systemu, na którym program pracuje. Adobe podkreśla, że żadna z 26 luk dotyczących Reader X nie umożliwia obejścia zabezpieczeń sandbox.

Flash dzięki aktualizacji zyskał numer 10.2.152.26. W wersji tej wyeliminowano 13 luk w zabezpieczeniach oznaczonych jako krytyczne, co oznacza, że każda z nich umożliwiała zdalne wykonanie złośliwego kodu. 8 luk mogło powodować uszkodzenie pamięci, a pozostałe były związane z ładowanymi bibliotekami, przekroczeniem zakresu liczb całkowitych oraz błędem parsowania czcionki.

Równocześnie z produktami Adobe Reader i Adobe Flash zaktualizowano platformę ColdFusion oraz odtwarzacz Shockwave. Dla wielu taka grupowa aktualizacja okazała się dużym zaskoczeniem, ponieważ w historii Adobe jest to sytuacja wyjątkowa. Rzecznik korporacji wyjaśnił, że Adobe stara się, aby wtorek stał się dniem aktualizacji dla wszystkich produktów. Póki co jednak nie gwarantuje, że tak już będzie zawsze.

Zaktualizowane produkty Adobe można pobrać tutaj.

Adobe wypuścił kolejną poprawkę do swojej stabilnej wersji Flash Playera. Najnowsza odsłona eliminuje kilka znanych podatności na przeprowadzenie ataku. Luki umożliwiały zawieszenie Flasha, a także wykonanie dowolnego kodu na komputerze ofiary co mogło doprowadzić do przejęcia całkowitej kontroli nad maszyną. Kolejne poprawki dotyczyły luki umożliwiającej wstrzyknięcie danych , błąd parsowania danych JPEG oraz błędy w dostępie do pamięci.

Wysoce zalecana jest aktualiacja oprogramowania Flash na komuterach do najnowaszej wersji oznaczonej numerem 10.0.42.34.

Iwo Graj, znany specjalista ds. bezpieczeństwa wpadł na trop możliwej podatności skryptów reklamowych GG na wykorzystanie ich do ataku phishingowego.

Reklamy GG są pobierane za pomocą protokołu HTTP a więc posiadają swój adres URL. Pozwala to na wyświetlenie reklamy w osobnym oknie przeglądarki. Problemem reklam flashowych GG jest to, że brakuje im filtrowania parametru clickTag, co pozwala w pewnych okolicznościach na ukrycie docelowej domeny, do której prowadzi link właśnie dzięki zakodowaniu parametru clickTag.

Luka może być wykorzystywana w celu odsyłania ludzi zachęconych np.: wysokimi nagrodami do fałszywej strony GG, na której użytkownik mógłby podać dane logowania do profilu GG.

Póki co rozwiązanie problemu jeszcze nie istnieje, ale producenci GG zostali już poinformowani przez Iwo Graj.

O tym, że Adobe pracuje nad rewolucyjnym Flashem oznaczonym jako 10.1, który ma się również uruchamiać na platformach mobilnych informowałem jakiś czas temu. Najnowszy Flash tworzony jest również z myślą o coraz popularniejszych platformach mobilnych takich jak Windows Mobile, BlackBarry OS, Android czy Symbian, ma zapewniać wsparcie dla sprzętowej akceleracji grafiki 2D i 3D oraz strumieni wideo. Teraz Adobe postanowił oddać w ręce użytkowników wersję beta Flasha. Na stronie Adobe Labs producent zachęca do instalowania wersji rozwojowej swojego oprogramowania i korzystania z niej, aby w ten sposób pomóc w wyeliminowaniu jak największej ilości błędów oraz wprowadzeniu usprawnień. Wersja beta Flasha 10.1 jest dostępna dla systemów Linux, Windows i Mac OS X działających na architekturze 32-bitowej. Niestety architektura 64-bitowa wciąż w oczach Adobe nie jest warta uwagi.

Wersję beta Flash 10.1 można pobrać tutaj.

Wyjątkowo chyba nie będę zachęcał do testowania najnowszego produktu Adobe. Osobiście jestem entuzjastą nowości i bardzo chętnie uczestniczę w beta testach, ale do produktów Adobe nie mam zaufania ze względu na powszechnie znane problemy z bezpieczeństwem. Jeżeli wersje stabilne oprogramowania Flash są pełne luk w zabezpieczeniach (ostatnio wykryto kolejną), a sam Adobe nic sobie z tego nie robi, to nawet nie chce wiedzieć jaka jest jakość wersji beta oprogramowania ze stajni Adobe.

Specjaliści z firmy Foreground Security poinformowali o wykryciu luki pozwalającej na zamieszczanie szkodliwych obiektów Flash na stronach internetowych za pomocą prostych formularzy do przesyłania plików na serwer. Okazuje się, że luka omija zabezpieczenie opierające się na zasadzie identycznego pochodzenia, która blokuje potencjalnie niebezpieczne elementy pochodzące z innej strony, niż aktualnie wyświetlona. Adobe obarcza winą twórców stron internetowych, którzy umożliwiają umieszczanie aplikacji internetowych w ich oryginalnej domenie.

Dyrektor ds. bezpieczeństwa produktów Adobe zwraca uwagę na fakt, iż problem dotyczy nie tylko stron korzystających z technologii Flash, ale i Java Script i Silverlighta, co powoduje, że jedynym i najszybszym sposobem na wyeliminowanie błędu jest poinformowanie o nim webmasterów, którzy dzięki modyfikacji kodu, mogliby zapobiec niebezpieczeństwu.

Rozwiązanie jednak nie jest tak oczywiste jak wskazuje Adobe. Specjaliści z Foreground Security wskazują pewne niedociągnięcia takiego rozwiązania problemu. Jednym z nich jest fakt, że wielu administratorów serwisów nie zdaje sobie sprawy z konieczności wprowadzania zmian. Jako przykład można podać stronę Adobe, która na atak z wykorzystaniem opisywanej luki jest podatna.

Jak widać Adobe może za chwilę zostać przyparty do muru. Nie jest dobrym rozwiązaniem wypinanie się na użytkowników, każąc im tworzyć takie aplikacje, które nie będą podatne na ataki przeprowadzone przez błędy ukryte w samym silniku, który te aplikacje ma obsługiwać.

Informowałem ostatnio o pojawieniu się nowych wersji Firefoksa (3.5.3 i 3.0.14). Przy tej okazji dopuściłem się błędu pisząc, że wersje te nie zostały wyposażone w moduł sprawdzający wersję wtyczki Flash Player.

Pragnę sprostować tę informację. Otóż wspomniany moduł został zaimplementowany do najnowszej wersji przeglądarki i Mozilla udostępniła raport z działania modułu. Jak się okazało, na 6 mln pobrań przeglądarki, aż w przypadku 3 mln instalacji wykryto nieaktualną wersję Flash Playera zainstalowaną na komputerach użytkowników. Zatrważający jest jednak fakt, że mimo pojawienia się wyraźnej i klarownej informacji o niebezpieczeństwie z jakim się wiąże korzystanie z nieaktualnego oprogramowania Flash, tylko około 30 % użytkowników zaktualizowało Flasha do najnowszej wersji. Wniosek nasuwa się sam. Aż 2 mln użytkowników Firefoksa (nie liczymy innych przeglądarek) jest narażonych na ataki z wykorzystaniem luk w oprogramowaniu Adobe.

Teraz widać skąd tyle postów z prośbą o pomoc w walce z wirusami na forach o tematyce IT. Użytkownicy w 60% przypadków sami strzelają sobie gola.

Firefox w wersji 3.5.3 i 3.0.14, którego premiera zaplanowana jest na dzisiaj będzie wyposażony w moduł umożliwiający sprawdzenie wersji Flash Playera, która jest aktualnie zainstalowana w systemie. Jeżeli moduł wykryje nieaktualną wersję Flasha w systemie, poinformuje o tym fakcie użytkownika odpowiednim komunikatem oraz poda link do strony producenta, na której użytkownik znajdzie najnowszą wersję wtyczki.

Flash jako pierwszy trafił na listę kontrolowanych przez nowy moduł, ponieważ jest to najczęściej instalowana wtyczka oraz jak wykazały pewne badania, około 80% systemów operacyjnych ma zainstalowane nieaktualne wersje Flash Playera. Wielu ekspertów przypuszcza, że propozycja Mozilli jest związana z niedawnym wypuszczeniem na rynek nowej wersji systemu Mac OS X Snow Leopard wyposażonego w nieaktualną wersję Flash Playera, która jest uważana za potencjalnie niebezpieczną, w związku z wykrytymi lukami bezpieczeństwa.

Mozilla prowadzi już rozmowy z takimi firmami jak Apple, Microsoft i Sun, których celem jest zaproponowanie podobnej funkcjonalności dla wtyczek produkowanych przez te firmy.