Firma Adobe zaktualizowała oprogramowanie Flash Player, naprawiając w nim siedem błędów sklasyfikowanych jako krytyczne ( tzn. umożliwiające zdalne uruchomienie złośliwego kodu na zaatakowanej maszynie ). Jedna z załatanych luk posłużyła niedawno jednemu z uczestników konkursu "PWN To OWN" do włamania do komputera pracującego pod kontrolą systemu Windows Vista.
Przypomnijmy, że w ostatnim dniu konkursu "PWN To OWN" - http://www.pcworld.pl/news/145484.html haker Shane Macaulay po siedmiu godzinach zmagań i dzięki pomocy kolegów, Aleksandra Sotirowa i Dereka Callawaya przejął kontrolę nad pecetem z Vistą SP1 wykorzystując lukę we Flash Playerze. Adobe twierdzi, że wykorzystany przez Macaulay'a błąd był znany już wcześniej firmowym specjalistom ds. zabezpieczeń i przewidziany w zaplanowanej na kwiecień aktualizacji.
Większość poprawek dotyczy sposobu w jaki Flash Player obsługuje pliki SWF ( jeden z błędów zgłosił Adobe pracownik Google, Rich Cannings w grudniu 2007 r., twierdząc że umożliwia on atak typu cross-site scripting ). Wśród łatek dodanych do najnowszego wydania aplikacji znalazła się m.in. funkcja sprawdzania zasad "krzyżowania" domen ( cross-domain policy check ).
W ostatnim czasie wykorzystywanie luk we Flashu stało się szczególnie "modne" wśród cyberwłamywaczy. Posiadanie zainstalowanego w systemie odtwarzacza wymagane jest, jeśli chce się przeglądać niektóre zasoby Internetu. We Flashu tworzone są także banery reklamowe - przestępcy również i tę platformę zaadaptowali na własne potrzeby, tworząc złośliwe banery ( powstała już nawet nazwa na to zjawisko malvertisement, czyli malware advertisement )
Pobierz Flash Playera - http://programy.pcworld.pl/pc/programy/17479/adobe.flash.player.9.0.124.0.html.html
