Adobe виправила чергову небезпечну уразливість Flash Player

Компанія Adobe випустила чергове позапланове оновлення Flash Player (APSB15-04). На цей раз мова йде про 0day уразливості CVE-2015-0313, яка використовувалася атакуючими для здійснення атак drive-by download (прихована установка шкідливого ПЗ). Це третє оновлення Flash Player за останні два тижні. Як ми вже писали раніше, Adobe випускала позапланові оновлення Flash Player для закриття інших Remote Code Execution 0day вразливостей, які перебувають на стадії активної експлуатації.
Adobe is aware of reports that CVE-2015-0313 is actively being in the exploited wild via drive-by-download attacks against systems running Internet Explorer and Firefox on Windows 8.1 and below.




Як і в минулий раз, мова йде про експлуатації уразливості Flash Player для веб-браузерів MS IE і Mozilla Firefox, але не Google Chrome. Потрібно відзначити, що Google Chrome має повноцінний механізм ізоляції процесів вкладок від виконання експлойта системних функцій, т. зв. full sandbox (він працює завжди і за замовчуванням). У Firefox такий механізм відсутній, а для IE він не використовується за умовчанням (Розширений захищений режим). Оскільки процес Flash Player для програвання відповідного вмісту запускається самим браузером і в контексті процесу вкладки, механізм sandbox істотно ускладнює процес експлуатації уразливості, або робить його повністю неможливим.

Веб-браузер Apple Safari на OS X блокує використання застарілих out-of-date версій Flash Player, щоб убезпечити користувача від тих недоліків, які вже були закриті Adobe.

Сам плагін можна відключити, як це зробити для різних браузерів див. тут.

Ми рекомендуємо регулярно оновлювати використовуваний вами Flash Player. Такі браузери як Internet Explorer 10 & 11 на Windows 8/8.1 і Google Chrome оновлюють свої версії Flash Player автоматично. Для IE див. оновлюване Security Advisory 2755801. Перевірте вашу версію Flash Player на актуальність тут, нижче у таблиці вказані ці версії для різних браузерів.



image
be secure.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.