Vídeo: Как отключить Adobe Flash в браузере Mozilla Firefox (Setembre 2024)
Les dues vulnerabilitats del dia zero, CVE 2013-0643 i CVE 2013-0648, s’estaven explotant en atacs objectius on els usuaris se’ls va enganxar a fer clic en un enllaç a un lloc web que allotjava fitxers Flash maliciosos, segons va dir Adobe en el seu assessorament de seguretat publicat dimarts. La companyia no va acreditar cap organització ni investigador que trobés les vulnerabilitats del dia zero, però va acreditar IBM X-force per informar del tercer forat de seguretat.
Els enginyers de seguretat d'Adobe a la Conferència RSA també han rebutjat proporcionar cap informació addicional.
"L'explot per Cve 2013-0643 i CVE 2013-0648 està dissenyat per orientar-se al navegador Firefox", va dir Adobe a l'apartat.
Els atacants podrien desencadenar les vulnerabilitats per fer que el reproductor de Flash es trenqués i obtenir el control remot de l’ordinador, va dir Adobe. Els errors del dia zero estan relacionats amb un problema de permisos amb la caixa de sorra Firefox del reproductor de Flash i un defecte en la característica ExternalInterface ActionScript, que es pot explotar per executar codi maliciós. El tercer, que actualment encara no s’explota, l’error era una vulnerabilitat de desbordament del buffer en un servei de intermediaris de Flash Player i que es podia utilitzar per executar codi maliciós.
L’actualització afecta totes les versions de Flash a Windows, Mac OS X i Linux. Els usuaris poden descarregar la versió més recent des del lloc web d'Adobe, o activar les actualitzacions en segon pla i permetre que el programari agafi la versió automàticament. Google i Microsoft actualitzaran Flash a Chrome i a Internet Explorer 10 (per a Windows 8) per separat.
Aquesta actualització de Flash és el segon pegat fora de banda per a Flash Player d'aquest mes, el tercer pegat d'Adobe al mes de febrer i el quart d'aquest pegat publicat el 2013 fins ara.
Ha passat gairebé un any des que Adobe va activar actualitzacions automàtiques per a Flash i Reader i la taxa d’actualitzacions ha estat tremenda, va dir a SecurityWatch a la conferència RSA Brad Arkin, director general de seguretat i privacitat d’Adobe. Arkin va dir que l'anterior model on es demanava als usuaris que descarreguessin les darreres actualitzacions no va ser suficient per aconseguir que els usuaris poguessin pegar Flash Player. Amb el canvi a les actualitzacions de fons, la taxa d’èxit ha estat significativa.
Per veure totes les publicacions de la nostra cobertura RSA, consulteu la nostra Mostra de informes.
