0day Flash Player sebezhetőséget javított az Adobe, további sebezhetőséget vizsgál

Titkosítás, biztonság, privát szféra

Az Angler Exploit Kit egy ideje 0day Flash Player sebezhetőséget használt ki aktívan:

TL:DR Any version of Internet Explorer or Firefox with any version of Windows will get owned if Flash up to 16.0.0.287 (included) is installed and enabled.

[...]

One last bad news : Windows 8.1 Internet Explorer 11 fully updated is now owned as well,

Az Adobe tegnap frissítést adott ki a CVE-2015-0310-re.

Az Adobe egy másik sebezhetőséget is vizsgál:

A critical vulnerability (CVE-2015-0311) exists in Adobe Flash Player 16.0.0.287 and earlier versions for Windows and Macintosh. Successful exploitation could cause a crash and potentially allow an attacker to take control of the affected system,

[...]

We are aware of reports that this vulnerability is being actively exploited in the wild via drive-by-download attacks against systems running Internet Explorer and Firefox on Windows 8 and below.

Hogy ezt a sebezhetőséget a vállalat mikor tervezi javítani, azt a bejelentéskor nem közölte.

További részletek itt és itt.

( sz332 v | 2015. 01. 23., p – 08:46 )

Azon gondolkodom, mennyire lehetne a hétköznapokban flash nélkül böngészni. Youtube már tud html5-t...

Nálam Windows alatt úgy megy, hogy ie-ben nincs flash telepítve (de nem is használom rendszeres böngészésre, csak bizonyos weblapokhoz).
FF az alap használt böngészőm, van flash benne, viszont van flashblock is - ez az első, amit mindig telepítek.
Van Chrome, amiben van flash és nincs tiltva.

A böngészéssel töltött idő 99%-ában az FF-ot használom, és a flash tartalmak nem futnak.
Néha, ha weblapban videó van, vagy ilyesmi, és meg akarom nézni, akkor klikk és lejátsza. Ez napjában néhány (mondjuk <10) alkalommal van így.
Előfordul, hogy valahogy úgy van beillesztve, hogy nem megy, pl. csak hang van vagy nem is játsza le. Ilyenkor az egész lapot megnyitom Chrome-ban, és ott nézem meg. Ez hetente 1-2 alkalommal fordul elő.

Egyébként flash-t nem tudó mobileszközök miatt általános, hogy weblapot úgy készítenek el, hogy ne kelljen hozzá.

Mondjuk nem mindig egyszerű, a mostani ügyfelünknél pl. valamikor nyáron kezdtünk el azzal komolyabban foglalkozni, hogy a weblapon lévő videók ne flash, hanem html5 alapon menjenek. Elsőre nem működött megfelelően, aztán vártunk, hogy valamiből új verzió legyen, és kb. november végére, december elejére lett működő megoldás. OK, nem ez volt a legmagasabb prioritású dolog, de akkor is: nem csak annyi, hogy 5 perc alatt lecserélünk valamit valami másra.

Ezzel a flash-reklámokat nagyrészt ki tudod szűrni, de a kifejezettem erre kihegyezett preparátumokat nem, hisz akkor nézel meg valamit, ha valamiért úgy gondolod, hogy érdemes megnézni - de azt nem tudod előre, hogy nincs-e vele gond. Tehát elegendő "átlagjúzer" számára megfelelőnek tűnő preparátumot készíteni, és máris - még a fenti (amúgy sajnos nem általános) tudatos böngészéssel együtt is fertőződik.

Ez igaz. De talán kevesebb eséllyel rejtenek el egy preparált flash videót a youtube-on, mint egy akármi weblapon egy preparált flash bannert vagy akármit, ahová aztán ilyen-olyan trükkel egyszerűen csak oda kell csalni az embert.

De valóban, ha valaki egy blogba vagy valami hasonló, kevésbé megbízható helyre feltesz egy preparált flash videót, és odaír kísérőszövegként valami érdekeset (mondjuk: a miniszterelnök elszólta magát! XY-ról pucér videót kaptunk. Nézzétek meg!), akkor sokan rákattintanak majd.

Az itteni "orszagos egeszsegugyi szolgaltato" hivatal egyik nagy IT projektjen dolgozom jelenleg. Itt talalkoztam az igazi csodaval: SmartCard security-s authentikacio, a kliens oldalon Java appletkent (!) ami csak Windows-on fut (!!). Most ujrairtak allitolag az egeszet, termeszetesen megint Java appletkent (!!!).

A slusszpoen: a fejlesztoi masinakon Windows van, es egy VirtualBox-os VM-ben megy a Linux, amit tenylegesen hasznalunk. Csak es kizarolag a Smartcard miatt van meg mindig Windows, persze fejlesztokent az sem kell (hiszen van mock security brokerunk), csak ha szokoevente az eles rendszert kell szupportalni. Azt hiszem, ezt hivjak szopasnak (meg a 40 evet a csavargyarban).

"Az itteni "orszagos egeszsegugyi szolgaltato" hivatal egyik nagy IT projektjen dolgozom jelenleg. Itt talalkoztam az igazi csodaval: SmartCard security-s authentikacio, a kliens oldalon Java appletkent (!) ami csak Windows-on fut (!!). Most ujrairtak allitolag az egeszet, termeszetesen megint Java appletkent (!!!)."
Hat nincs mit tenni, aki ezt eldontotte, nem ert mashoz csak a java applethez :)

--
arch,centos,debian,openelec,android

dev: http://goo.gl/7Us0GN
BCI news: http://goo.gl/fvFM9C

Nekem simán megy fullhd-ba... Erőforrásról nem tudok aktuálisan nyilatkozni, nincs összehasonlítási alapom, egy jó ideje már nincs flash-em firefoxban. Ha nagyritkán kell, akkor indítok chrome-ot. Erről annyit tudok, hogy pl. a webinar rögtön felveri 150-200%-ra a cput..
--
The Community ENTerprise Operating System

Teljesen. Véleményem szerint a flash már csak a reklámokra jó. Youtube, indavideó, index video, vimeo, soundcloud, és még sok más ami nem jut eszembe.... Mind megy remekül html5-tel. (Csak halkan jegyzem meg, hogy már jópár XXX videós oldal is.)
--
The Community ENTerprise Operating System

( sarkanyolo v | 2015. 01. 24., szo – 06:44 )

Lazán kapcsolódik: Hogyan lehet flash playert és adobe readert telepíteni hálózat nélkül? Semmi alternatívát nem találok a web telepítő mellé.

Nyilván sehogy, mert valahogy le kell tölteni. Ha az a kérdés, hogy milyen linkről tölthető az a fájl, ami mást már nem igényel, no az más kérdés.
flash. Itt annyi a lényeg, hogy ennek az URL-nek a végén a PATH utolsó tagja az ppen aktuális verzió neve, kicsit megcsavarva. A legutolsó verzió hivatalos verziószáma 11.2r202.438, de a könyvtár nevében az "r" "."-ra lett cserélve. Reader deeplinket most nem találok.

Flash-re már korábban írták a linket: http://www.adobe.com/in/products/flashplayer/distribution3.html (az exe unattended módban a -install kapcsolóval telepíthető)

Reader: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=… - kell az eredeti telepítő, és mellé a legfrissebb msp, az alapot a mellé tett setup.exe-vel fel lehet tenni unattended módban, aztán rá lehet dobni a legfrissebb msp-t. (valahol van hozzá Adobe Customization Tool is, amivel lehet beállítófájlt csinálni a telepítőhöz, de azért nem tökéletes)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( elod v | 2015. 01. 25., v – 16:55 )

Fantasztikus. Kint van a 296, dobja is a hibát az offline telepítő hogy régebbit akarok telepíteni.

24-én kiadták a autómatikus frissítés formájában a 296-ot ami javítja a CVE-2015-0311-t, offline telepítő formában viszont csak 26-ára ígérik.

( ak0sh | 2015. 01. 25., v – 19:15 )

Nincs itt kérem semmi látnivaló, csak a szokásos Adobe minőség.