Adobe исправляет флеш-ошибки, злоумышленники нацелены на пользователей Firefox

Adobe исправила три новых уязвимости безопасности в своем почти повсеместном Flash Player, два из которых уже использовались в дикой природе. По словам компании, злоумышленники были специально нацелены на пользователей Mozilla Firefox.

Об этих двух уязвимостях нулевого дня, CVE 2013-0643 и CVE 2013-0648, использовались в целевых атаках, когда пользователям приходилось нажимать на ссылку на веб-сайт, на котором размещены вредоносные файлы Flash, говорится в сообщении Adobe, опубликованном во вторник. Компания не поверила ни одной организации или исследователю, обнаружившему уязвимости нулевого дня, но приписала IBM X-force сообщение о третьей дыре в безопасности.

Специалисты по безопасности Adobe на конференции RSA также отказались предоставить какую-либо дополнительную информацию.

«Эксплойт для Cve 2013-0643 и CVE 2013-0648 предназначен для браузера Firefox», - говорится в сообщении Adobe.

По словам Adobe, злоумышленники могут вызвать уязвимости, что приведет к сбою Flash Player и получению удаленного контроля над компьютером. Ошибки нулевого дня связаны с проблемой разрешений в песочнице Flash Player Firefox и недостатком функции ExternalInterface ActionScript, которая может использоваться для выполнения вредоносного кода. Третья, в настоящее время еще не эксплуатируемая ошибка, была уязвимостью переполнения буфера в брокерской службе Flash Player и могла использоваться для выполнения вредоносного кода, сообщает Adobe.

Обновление распространяется на все версии Flash в Windows, Mac OS X и Linux. Пользователи могут загрузить последнюю версию с веб-сайта Adobe или включить фоновые обновления и позволить программному обеспечению автоматически получить версию. Google и Microsoft обновят Flash в Chrome и Internet Explorer 10 (для Windows 8) отдельно.

Это обновление Flash является вторым внеполосным патчем для Flash Player в этом месяце, третьим патчем Adobe в феврале и четвертым таким патчем, выпущенным в 2013 году.

Прошел почти год с тех пор, как Adobe включила автоматические обновления для Flash и Reader, и частота обновлений была огромной, сказал Брэд Аркин, старший директор по безопасности и конфиденциальности Adobe, на SecurityWatch на конференции RSA. По словам Аркина, предыдущей модели, в которой пользователям предлагалось загрузить последние обновления, было недостаточно, чтобы заставить пользователей на самом деле установить Flash Player. С переходом на фоновые обновления уровень успеха был значительным.

Чтобы увидеть все сообщения из нашего покрытия RSA, проверьте нашу страницу Показать отчеты.