Adobe w tym tygodniu udostępniło aktualizację, która eliminuję lukę w zabezpieczeniach platformy Flash. Luka ta została wykorzystana między innymi do ataku na trzy strony internetowe należące do organizacji non-profit, z których dwie zajmowały się bezpieczeństwem narodowym.
Luka została oznaczona jako krytyczna. Pozwalała na uruchomienie złośliwego kodu na atakowanej maszynie. Na szczęście możliwość ataku została mocno ograniczona dzięki coraz popularniej stosowanemu mechanizmowi ASLR (address space layout randomization), który w wielkim skrócie sprawia, że żaden z istotnych elementów systemu nie może zostać łatwo namierzony przez złośliwy kod obcej aplikacji. Problem przede wszystkim dotyczy starszych wersji oprogramowania, a konkretnie chodzi system Windows XP oraz system Windows 7 z uruchomioną nieobsługiwaną wersją Javy 1.6 i systemem Windows 7 z zainstalowanym pakietem Office 2007 lub Office 2010, które nie korzystają z techniki ASLR.
Wersje Adobe Flash, które mają wspomnianą lukę:
- Adobe Flash Player 12.0.0.44 oraz wcześniejsze wersje przeznaczone dla platformy Windows i Macintosh
- Adobe Flash Player 11.2.202.336 oraz wcześniejsze wersje przeznaczone dla Linuxa
- Adobe AIR 4.0.0.1390 oraz wcześniejsze wersje przeznaczone dla systemu Android
- Adobe AIR 3.9.0.1390 SDK oraz wcześniejsze wersje
- ADOBE AIR 3.9.0.1390 SDK i Compiler oraz wcześniejsze wersje
Luty przyniósł nam już drugą poprawkę bezpieczeństwa wydaną poza standardowym harmonogramem.