29.05.2008

Доверяй но проверяй 2 или много шума из-за Flash Player

image

Вчера на SecurityLab было опубликовано сообщение об уязвимости в последней версии Flash Player. В этой заметке будет описана хронология событий и причина, по которой уязвимости почти не существует.

Вчера на SecurityLab было опубликовано сообщение об уязвимости в последней версии Flash Player. В этой заметке будет описана хронология событий и причина, по которой уязвимости почти не существует.

Что было?

Во вторник, 27 мая 2008 года компания Symantec опубликовала на сайте Securityfocus.com уведомление о неизвестной уязвимости (BID 29386) в Adobe Flash Player версий 9.0.115.0 и 9.0.124.0, ссылаясь на обнаруженные попытки эксплуатации. Через несколько часов в блоге SANS появилось уведомление о zero-day эксплоите, эксплуатирующем уязвимость в последней версии Flash Player. Новость об этом быстро разлетелась и многие СМИ и security-компании, доверяя компетентному источнику (Symantec), опубликовали уведомления о критической уязвимости:

http://secunia.com/advisories/30404/
http://www.frsirt.com/english/advisories/2008/1662
http://www.securitylab.ru/vulnerability/353662.php
http://www.kb.cert.org/vuls/id/395473
http://www.securityfocus.com/bid/29386
http://blog.trendmicro.com/flash-bugs-exploited-in-latest-mass-compromise/
http://www.f-secure.com/weblog/archives/00001446.html
http://www.net-security.org/secworld.php?id=6169
и многие другие.

После проведенного анализа существующих эксплоитов компаниями Adobe и Symantec было выяснено, что эксплуатируемая уязвимость была устранена в предыдущем обновлении (http://www.securitylab.ru/vulnerability/350671.php #2 (CVE-2007-0071)) и версия 9.0.124.0 не уязвима. Об этом стало известно вчера вечером после сообщения на сайте Symantec и подтверждено сегодня компанией Adobe.

Symantec не прав?

Ben Greenbaum (старший аналитик в Symantec) в интервью Computerworld объясняет ошибку тем, что Adobe не совсем корректно распространила патчи на свои продукты. Дело в том, что Flash Player поставляется как плагин (ActiveX) к браузеру и как отдельное приложение. Оба приложения сохраняют одинаковые версии, что и сбило с толку сотрудников Symantec. Плагин к браузерам версии 9.0.124.0 не уязвим, а отдельное приложение версии 9.0.124.0 - уязвимо.

Насколько серьезна ситуация с эксплуатацией уязвимости в Flash Player?

Хоть Symantec и ошибся с точным определением уязвимости, опасность, которую представляют эксплоиты к Flash Player, довольно велика. Большинство пользователей не устанавливают исправления, а некоторые даже не знают, что у них установлен Flash Player. Эксплуатация уязвимости через различные сайты делает уязвимость в Flash Player весьма опасной, не смотря на наличие исправления от производителя.

Рекомендации

Всем пользователям рекомендуется установить последнюю версию Flash Player, доступную на сайте производителя и отключить Flash Player до установки обновления.

Валерий Марчук
www.SecurityLab.ru

comments powered by Disqus