11:25
5/6/2010

Uwaga! Ataki 0day na Flasha i Adobe Readera

Adobe ostrzega przed bardzo groźną dziurą w programie Flash Player 10.0.45.2 oraz wcześniejszych wersjach. Błąd pozwala na atak zdalny, a przypadki jego wykorzystania zauważono już w internecie. Problem dotyczy wersji na Windowsa, Maca, Linuksa i Solarisa. Oprócz Flasha, błąd dotyka także Adobe Readera i Acrobata w wersjach 9.x (Windows, Mac, UNIX).

Skutki ataku

Atak, wg Adobe, pozwala na zawieszenie systemu operacyjnego. Istnieje także możliwość, że atakujący przejmie kontrolę nad zaatakowaną maszyną. Według doniesień Adobe, źli-ludzie-z-internetu już exploitują tę dziurę w sieci :-)

Jeśli jeden z PDF-ów, który otworzyłeś wyglądał tak:

Efekt otworzenia pliku z obecną wersją exploita

…to masz problem :-)

Flash (sposób ochrony)

Ponieważ exploit jest już aktywnie wykorzystywany w internecie, Adobe zachęca do jak najszybszej aktualizacji Flasha do wersji 10.1 (ponoć niepodatnej na atak).

Dodatkowo, Niebezpiecznik sugeruje korzystającym z Flasha włączenie w swoich przeglądarkach opcji “Flash on demand“, czyli blockera, który uruchamia Flasha na żądanie, dopiero po kliknięciu apletu przez użytkownika. Jeśli Twoja przeglądarka nie posiada tej funkcji, to czas ją zmienić :>

Opera:
opera:config#Enable on demand

Firefox:
np. dodatek: NoScript

Operowy Flashblock w akcji

Adobe Reader i Acrobat (sposób ochrony)

W przypadku tych dwóch programów, za problem odpowiedzialna jest biblioteka authplay.dll (umożliwiająca odtwarzanie SWF osadzonych w PDF-ach). Aby pozbyć się dziury, użytkownicy mogą skasować ten plik, zmienić jego nazwę, albo usunąć prawda dostępu. Poniżej podajemy ścieżki do miejsc, w których znajduje się plik:

Adobe Reader:
C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll

Acrobat:
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\authplay.dll

Dodatkowo, Niebezpiecznik, korzystającym z Windowsa mocno sugeruje zmianę czytnika PDF na jakąś alternatywę, np. na Foxit Readera.

P.S. To co, czekamy na kolejne aurora attacks? :>

Przeczytaj także:

18 komentarzy

Dodaj komentarz
  1. “Ponoć” to trochę mało, ktoś przetestował ten exploit na flashu 10.1?

  2. Ja mam Flasha domyślnie wyłączonego i muszę dopiero włączać na stronie którą chcę oglądać czyli YouTube i Vimeo…, poza tymi stronami nie widzę potrzeby korzystania z Flash, reklamy mnie wybitnie nie interesują, a to jest 99% zawartości przeciętnej strony. Szkoda mi transferu zdrowia itd. itp. jestem zdecydowanym przeciwnikiem Flasha i “dziwnych” wtyczek.

    P.S. Nawet nie wiedziałem, że na Niebezpieczniku są też reklamy Flash, możecie dać APNG, GIF albo zwykły PNG/JPG to przynajmniej coś zobaczę ;-)

  3. To może ktoś na niebezpieczniku mi pomoże – nie mam dźwięków w żadnych Flashowych appletach, po za tym brak dźw. systemowych. Reinstall adobe flash, kodeków, czy systemowych sterowników dźwięku nic nie dał. :( Jeśli ktoś ma radę to proszę: jwitos at gmail dot com

  4. Dzięki za informacje o tym jak zabezpieczyć operę. Żegnajcie natrętne reklamy we flashu na stronkach, które nie chcą działać z firefoksem;]
    Swoją drogą czy Adobe zwariowało, żeby zachęcać do aktualizacji do wersji będącej wciąż w stadium RC? Powinni się przyłożyć i góra na jutro wydać stable.

  5. “usunąć prawda dostępu”
    literówka ;)

  6. Również K-Meleon ma opcję „flash on demand”, chyba nawet właśnie on był pierwszy. A ta funkcja w Operze blokuje wszystkie pluginy (również Javę, czy WMP). Jeśli ktoś używa Opery starszej niż 10.5, może skorzystać z Flash Blockera (UserJS+UserCSS), który robi to samo.

  7. Na dzień dzisiejszy ostatecznej wersji nie ma, Flash player 10.1 w tej chwili to dopiero wersja RC.

  8. Opcja “Enable On Demand Plugin” świetna! Wielkie dzięki! Tylko ja mam brzydki znaczek play (taki trójkąt w prawo) – jak się go pozbyć (zamienić na takie logo flasha)?

    • @koziolek: to w podzięcei naszych reklam nie blokuj, z czegoś musimy żyć ;)
      @Thorvard: niestety, nie zawsze reklamodawca daje wybór co do formatu. Tutaj takiego nie było. Jeśli jest, to zawsze dajemy statyczne obrazki, zdając sobie sprawę, że wielu z Was wie co to jest adblock i NoScript ;)

  9. W ie8 trzeba wyłączyć plugin w “narzędzia:dodatki” (czy jakoś tak, mam wersję ang. :).
    W chrome trzeba zainstalować dodatek “FlashBlock:
    https://chrome.google.com/extensions/detail/gofhjkjmkpinhpoiabjplobcaignabnl?hl=pl

  10. A jaki jest mechanizm zarabiania? Dostajecie kasę za odsłonę czy kliknięcie? Chętnie pomogę jak będę wiedział jak;]

  11. Ani chybi sabotaż Appla… ;)
    Swoją drogą to 64bitowa wersja na linuxa jak stała od lutego na 10.0 r45 tak stoi do dzisiaj.

  12. A ja bym proponował przejść na inną alternatywę… na pewno nie będzie to Foxit Reader – który jest dziurowy ;)

  13. Taak, Flash 10.1, wczoraj jeszcze prerelease dzisiaj już release, szybko poszło…:>

  14. Kuźwa… Jeszcze trochę i będę musiał podpinać debuggera pod każdą uruchamianą aplikację.

  15. hyhy.. ciekawe czy teraz google ogłosi ze pracownicy nie mogą używać flasha :D

  16. Foxit niestety jest równie dziurawy, co Adobe.
    Z readerów (po dogłębnych testach) polecam wszystkim PDF XChange Viewer
    http://www.tracker-software.com/product/pdf-xchange-viewer
    Jest PL, możliwości ogromne (nawet podstawowa edycja pdfa), freeware i nieczuły na wszystkie exploity, na których inne się wysypały.

  17. “Atak, wg Adobe, pozwala na zawieszenie systemu operacyjnego. Istnieje także możliwość, że atakujący przejmie kontrolę nad zaatakowaną maszyną.”
    “This vulnerability could cause a crash and potentially allow an attacker to take control of the affected system.”
    Czyli mam rozumieć, że bez uprawnień administratora (roota) nici z przejęcia kontroli nad systemem? No to luzik… :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: