Koncern Adobe naprawił liczne luki w zabezpieczeniach we Flash Playerze oraz w serwerach ColdFusion i Flash Media Server.
Problemy
Napastnicy mogli wykorzystać kilka błędów we Flash Playerze 10.1. aby przemycić do systemu szkodliwy kod. Inna luka sprawiała, że Flash Player był podatny na ataki typu clickjacking. Usterki te miały wpływ na bezpieczeństwo pakietów Flash Professional CS5, Flash CS4 Professional i Flex 4. Według Adobe na ich występowanie narażone są wszystkie wersje odtwarzacza, aż do wydania 10.1.53.64. W takim samym stopniu wadliwe jest oprogramowanie Adobe AIR w wydaniu 2.0.2.12610 i wcześniejszych.
Z kolei usterki we Flash Media Serverze związane są między innymi z możliwością wykonywania dowolnego kodu. Dotyczą edycji dla Uniksów i systemu Windows, a podatne na ataki są wszystkie wydania, aż do wersji o numerach 3.0.5 i 3.5.3.
W ColdFusion 8.0, 8.0.1, 9.0, 9.0.1 i starszych wersjach w określonych warunkach może dojść do przekazania potencjalnym napastnikom informacji, które nie powinny opuścić systemu.
Rozwiązania
Producent zaleca aktualizację Flash Playera do najnowszej wersji oznaczonej numerem 10.1.82.76. Jeśli ktoś jeszcze ma w systemie Flash Playera 9, np. w wyniku instalacji pakietu Flash CS3 Professional albo Flex 3, może załatać te luki za pomocą wydanej również we wtorek aktualizacji do wersji 9.0.280.
Rozwiązaniem problemu w przypadku środowiska Adobe AIR jest aktualizacja do wersji 2.0.3.
Adobe zaleca też aktualizację Flash Media Servera do wydania 3.0.6 lub 3.5.4, a w celu uniknięcia problemu z wyciekiem niejawnych danych w ColdFusion proponuje poprawkę Security Hotfix.
wydanie internetowe www.heise-online.pl
