Video: How to Enable Flash in Firefox (Oktober 2024)
De to nulldagers sårbarhetene, CVE 2013-0643 og CVE 2013-0648, ble utnyttet i målrettede angrep der brukere ble lurt til å klikke på en kobling til et nettsted som er skadelig med Flash-filer, sa Adobe i sin sikkerhetsrådgivning tirsdag. Selskapet krediterte ingen organisasjoner eller forskere som fant sårbarhetene på null dager, men krediterte IBM X-force for å ha rapportert det tredje sikkerhetshullet.
Adobes sikkerhetsingeniører på RSA-konferansen avviste også å gi ytterligere informasjon.
"Utnyttelsen for Cve 2013-0643 og CVE 2013-0648 er designet for å målrette Firefox-nettleseren, " sa Adobe i rådgivningen.
Angripere kan utløse sårbarhetene for å få Flash Player til å krasje og få fjernkontroll av datamaskinen, sa Adobe. Buggene på null dager er relatert til et tillatelsesproblem med Flash Player Firefox sandkasse og en feil i funksjonen ExternalInterface ActionScript, som kan utnyttes til å utføre ondsinnet kode. Den tredje bug som for øyeblikket ikke er utnyttet, var en sårbarhet med bufferoverløp i en Flash Player-meglertjeneste, og kan brukes til å utføre ondsinnet kode, sa Adobe.
Oppdateringen påvirker alle versjoner av Flash på Windows, Mac OS X og Linux. Brukere kan laste ned den nyeste versjonen fra Adobes nettsted, eller slå på bakgrunnsoppdateringer og la programvaren ta tak i versjonen automatisk. Google og Microsoft vil oppdatere Flash på Chrome og Internet Explorer 10 (for Windows 8) hver for seg.
Denne Flash-oppdateringen er den andre patch-up for Flash Player denne måneden, den tredje Adobe-oppdateringen i februar måned, og den fjerde slike oppdateringen utgitt i 2013 så langt.
Det har gått nesten et år siden Adobe slo på autmatiske oppdateringer for Flash og Reader, og oppdateringsfrekvensen har vært enorm, sa Brad Arkin, seniordirektørsikkerhet og personvern hos Adobe, til SecurityWatch på RSA-konferansen. Den forrige modellen der brukerne ble bedt om å laste ned de siste oppdateringene, var ikke tilstrekkelig til å få brukere til å faktisk lappe Flash Player, sa Arkin. Med overgangen til bakgrunnsoppdateringer har suksessraten vært betydelig.
Hvis du vil se alle innlegg fra RSA-dekningen, kan du sjekke siden Vis rapporter.
