Ismét kritikus Adobe Flash Player sebezhetőségre figyelmeztet az Adobe

Címkék

Az Adobe tegnap közölt egy biztonsági figyelmeztetőt, amelyben arra hívja fel a figyelmet, hogy a 10.1.82.76-os és korábbi verziójú windowsos, linuxos, solarisos, Mac-es Adobe Flash Player-ek kritikus sebezhetőségben szenvednek. Szintén sebezhető a 10.1.92.10-es Flash Player for Android is. A sebezhetőség ráadásul érinti az Adobe Reader egyes verzióit is.

A sebezhetőség összeomláshoz vezethet és magában hordozza a lehetőségét annak, hogy a rosszindulatú támadó átvegye az irányítást az áldozat rendszere felett. Jelentések érkeztek a gyártóhoz arról, hogy a windowsos verzió ellen aktív támadások vannak folyamatban. Az Adobe jelezte, hogy már dolgozik a problémán, de javítás két hétnél korábban nem nagyon várható. A részletek itt olvashatók.

Hozzászólások

emlegetett szamar. Talan 2 ev mulva ujra lesz hasznalhato sechole nelkuli x64-es es armos verzio. Vagy az armost karbantartjak?

------------
A Windows 95 hibajabol tanulva inkabb Windows XP-nek nevezték el, hogy ne legyen ciki, hogy a legtöbb dologra 2008-ban még mindig a "Windows 2001" a leghasználhatóbb

Igen, tényleg lehetne erre a hírre gyártani egy template-et, amiben csak a mezőket (programnév, verziószám, stb.) kellene kitölteni.
Hogy mókásabb legyen, mindezt lehetne flasben implementálni. :D

A tréfát félretéve, mi lehet ennek az egésznek az oka? Most nem arra gondolok, hogy hány nap alatt javítják ki az újabb 0 day hibát, hanem hogy miért kerül elő ilyen számolatlan mennyiségű hiba épp ezekben a programokban?
Van ennek valami mélyebb oka esetleg?

"hanem hogy miért kerül elő ilyen számolatlan mennyiségű hiba épp ezekben a programokban?"

Egyszer volt egy felmérés arról, hogy a desktop gépek hány százalékán van telepítve Adobe Flash Player. Az eredmény megdöbbentő volt. 97-98 százalékra emlékszem. Tudsz mondani még olyan szoftvert, ami közvetlen kapcsolatban van az internettel és ilyen százalékban van jelen a desktop számítógépeken? Mivel ilyen elterjedt, nyilvánvaló, hogy jó támadási felület. Biztos vagyok benne, hogy hogy a malware írók erősen rá vannak szívódva és darabokra szedik annak érdekében, hogy hibát találjanak benne. Egyik oka lehet ez annak, hogy ennyire gyakori a Flash-ben levő hibák kihasználása. A másik ok lehet egyszerűen az, hogy rossz munkát végeznek az Adobe-nál.

--
trey @ gépház

eppen ezert en nem is azon a ponton kerdojelezem meg oket, hogy sok exploit van, ha midnenki pl. Arorat hasznalna az egesz vilagon, lehet az is tele lenne exploittal, nekem a rossz munkat vegeznek inkabb abban nyilvanul meg, hogy kepzelem milyen gany kod lehet az, ami x86 kivetelevel semmire nem fordul le rendesen (de még amd64-re is nehezkesebben mint armra) Innentol joggal feltetelezem azt, hogy a kod rossz minosege okozza a sok exploitot is, ahogy az nVidia driver is stabilabb az Ati Catalystnal, es veletlen mindemellett platformfuggetlen is

Meg az Adobe Readerre ez nem igaz, hogy 97-98% Internetkozeli blabla, megis vannak annak is exploitjai, es szerintem a Microsoft Wordot is hasznaljak majdnem ennyien, megse olyan lyukas, mint az ementali sajt, tehat nekem ebbol egyenesen kovetkezik, hogy az MS Office jobb minosegu kod, mint az Adobe Reader

------------
A Windows 95 hibajabol tanulva inkabb Windows XP-nek nevezték el, hogy ne legyen ciki, hogy a legtöbb dologra 2008-ban még mindig a "Windows 2001" a leghasználhatóbb

Nyugodt lehetsz, hogy az MS Office ugyanilyen lyukas ementáli sajt volt. Jól bizonyítja ezt Ben Nagy quad-core Xeon szerverekből épített klaszteren futó elosztott fuzzere, amelyik egy rakás hibát talált a Word-ben anno pár másodperc alatt. A különbség csak az, hogy a Microsoft megértette végre annak fontosságát, hogy a biztonsági hibákat a lehető legszélesebb körben, a legváltozatosabb módokon kell keresni és az itsec iparban megjelenő új ötleteket mihamarabb magukévá kell tenni, így sikeresen átültették a fuzzing klaszter ötletet a saját fuzzing botnet-jükbe és a belső hálózatukban lévő kihasználatlan gépkapacitásukat arra fordítják, hogy eddig felfedezetlen hibákat keressenek a termékeikben. Ennek köszönhetően, nameg az Office 2010-ben megjelent új biztonsági funkcióknak (pl. a Gatekeeper dll a file integritás vizsgálathoz, vagy a Protected View sandbox) köszönhetően biztonságosabb jelenleg a termékük az összes konkurens terméknél.

Ez tényleg jó ötlet, fel is vetődött bennem rögtön, hogy vajon egy szabad szoftveres programot (Firefox, OpenOffice, stb) lehetne-e ezzel a módszerrel önkéntesek bevonásával nagyon széles körben teszteltetni? Vagy ez több biztonsági problémát vetne fel, mit amennyit megoldana?
Mert addig kivitelezhetőnek látom a dolgot, amíg csak egy cég belső rendszerében történik a tesztelés, de ha már kikerül számos egyedi felhasználó ellenőrizhetetlen gépére... nem is tudom...

Biztos lenne olyan, aki megtartaná a talált hibákat, de ha több résztvevővel is redundánsan lefuttatnák ugyanazokat a teszteket, akkor kisebb valószínűséggel maradhatna titokban. A probléma csak az, hogy még így is kétélű fegyver, ahogy a kerneloops[.org] is az. Van ugyanis egy szép nagy "race window" a bug megtalálása és a végfelhasználóknál történő javítás között, amely épp elégséges lehet egy támadónak a hiba kihasználásához...

Akkor csak egy kerdesem maradt: ezt miert nem tudtak pont az Internet Explorernel megoldani? Mert azon most eppen nem lyukak vannak, hanem kesz egeratjarohaz :D (IE9 persze jobb lesz, de...)

------------
A Windows 95 hibajabol tanulva inkabb Windows XP-nek nevezték el, hogy ne legyen ciki, hogy a legtöbb dologra 2008-ban még mindig a "Windows 2001" a leghasználhatóbb

Mások az arányok. Nyilván Office 2010-ben még így is maradt egy rakás bug (ahogy IE-ben), csak a kihasználásuk lett nehéz. Míg Word/Excel esetén megnyitáskor erős kalimpálás látható makróknál és más beágyazott kódoknál, amelyek előkészíthetnék a terepet az exploitáláshoz, addig Internet Explorer-nél (és általában a böngészőknél alapértelmezetten) kérdés nélkül futhat Javascript kód. Annak segítségével pedig már rutin a heap-spraying és így az ASLR kijátszása.

Egyébként Windows 7-en, 64 bites Internet Explorer 8 + kikapcsolhatatlan DEP beállítás mellett (

bcdedit /set NX AlwaysOn

) meglehetősen nehéz már egy puffer túlcsordulásos hibát komolyabb dologra kihasználni...

Csak nekem tűnik úgy, hogy mostanában sok a Flash sechole? Vagy mindig is volt sok, de mostanában lett divat kihasználni ezeket? És miért tart 2 hétig egy javítás? Úgy gondolnám, hogy van százezer unit teszt meg szerverpark, ami futtatja, és 1-2 nap alatt release-elhető lenne.

--
joco voltam szevasz

Nalam eleg nagy problema hogy megszuntettek a 64bites verzio fejleszteset igy maradok a betanal amit kiadtak, es nem latogatok ketes oldalak flashel.

Talán újra kéne írniuk az egészet, mert a jelek szerint csak tákolgatják újra és újra.

vagy haladni kene a html5-tel, nem csak a bongeszoknek, de a webfejlesztoknek is. Respect the exception, mert egyre tobb van

------------
A Windows 95 hibajabol tanulva inkabb Windows XP-nek nevezték el, hogy ne legyen ciki, hogy a legtöbb dologra 2008-ban még mindig a "Windows 2001" a leghasználhatóbb

Munkás Istvánnak van igaza a flash bojkottal.

Es kompatibilitasban sem jobbak az Adobe-nal (mindket ceg legfobb hatranya, hogy minel kevesebb dologgal, de leginkabb csak onmagaval kompatibilisek a termekei)

------------
A Windows 95 hibajabol tanulva inkabb Windows XP-nek nevezték el, hogy ne legyen ciki, hogy a legtöbb dologra 2008-ban még mindig a "Windows 2001" a leghasználhatóbb