Adobe лепенки флаш бъгове, атакуващи насочени потребители на Firefox

Adobe изтъкна три нови пропуски в сигурността в почти повсеместния си Flash Player, два от които вече се експлоатират в природата. Атакуващите бяха насочени специално към потребителите на Mozilla Firefox, съобщиха от компанията.

Двете уязвимости с нулев ден, CVE 2013-0643 и CVE 2013-0648, се експлоатират при насочени атаки, при които потребителите са подмамени да натискат връзка към уебсайт, хостващ злонамерени Flash файлове, заяви Adobe в своя съвет за сигурност, публикуван във вторник. Компанията не кредитира нито една организация или изследовател, които откриха уязвимостите за нулев ден, но кредитира IBM X-force за докладване на третата дупка за сигурност.

Инженерите по сигурността на Adobe на конференцията на RSA също отказаха да предоставят всякаква допълнителна информация.

„Експлоатацията за Cve 2013-0643 и CVE 2013-0648 е предназначена да се насочи към браузъра Firefox“, казва Adobe в консултативния съвет.

Нападателите биха могли да задействат уязвимостите, които да доведат до срив на Flash Player и да получат дистанционно управление на компютъра, заяви Adobe. Грешките с нулев ден са свързани с проблем с разрешенията с пясъчната кутия на Flash Player Firefox и с недостатък във функцията ExScriptInterface ActionScript, която може да се използва за изпълнение на злонамерен код. Третата, която все още не се експлоатира, бъгът е уязвимост на преливане на буфер в услуга на брокера на Flash Player и може да се използва за изпълнение на злонамерен код, заяви Adobe.

Актуализацията засяга всички версии на Flash на Windows, Mac OS X и Linux. Потребителите могат да изтеглят най-новата версия от уебсайта на Adobe или да включат актуализации на фона и да позволят на софтуера да вземе автоматично версията. Google и Microsoft ще актуализират Flash на Chrome и Internet Explorer 10 (за Windows 8) отделно.

Тази актуализация на Flash е вторият патч извън лентата за Flash Player този месец, третият патч на Adobe през месец февруари и четвъртият такъв патч, издаден през 2013 г. досега.

Измина почти година, откакто Adobe включи автоматични актуализации за Flash и Reader, а скоростта на актуализация е огромна, заяви Брад Аркин, старши директор по сигурността и поверителността в Adobe, каза за SecurityWatch на конференцията на RSA. Предишният модел, при който потребителите бяха подканени да изтеглят най-новите актуализации, не беше достатъчен, за да могат потребителите действително да закърпят Flash Player, каза Аркин. С преминаването към актуализации на заден план, успехът е значителен.

За да видите всички публикации от нашето покритие на RSA, вижте страницата ни Show Reports.