8:01
15/3/2011

Znaleziono poważną dziurę we Flashu. Dotyka także użytkowników Adobe Readera, Acrobata oraz oczywiście przeglądarek internetowych i Microsoftowego Excela (kto wiedział, że można osadzać w nim obiekty Flasha?). Co gorsze, zaobserwowano także wykorzystanie tej podatności w trwających w internecie atakach.

0day we Flashu, exploit wykorzystywany w atakach

Błąd we Flash Playerze (CVE-2011-0609) może zawiesić system ofiary oraz umożliwić atakującemu jego przejęcie. Błąd dotyka wersje 10.2.152.33 i wcześniejsze (w przypadku przeglądarki Chrome: 10.2.154.18 i wcześniejsze) i dotyczy wszystkich platform (Windows, Mac, Linux, Solaris).

Flash Bug

Exploit na tę dziurę wykorzystywany jest w atakach skierowanych; ofiary otrzymują jako załącznik do e-maila plik Microsoft Excel (.xls), który zawiera wbudowany obiekt Flasha (.swf). Zaobserwowane wersje exploita działają poprawnie pod Windows XP.

Reader X się obronił

Warto zauważyć, że o ile błąd dotyka użytkowników Adobe Readera/Acrobata (posiadają wbudowaną obsługę Flasha dzięki podatnej na atak Authplay.dll), to Reader X, dzięki swojemu Protected Mode według Adobe ochroni użytkowników przed skutkami exploita.

Adobe kończy pracę nad poprawką i zapowiedziało jej wydanie na 21 marca. Do tego czasu warto zastanowić się nad stosowaniem Flashblocka lub całkowitym wyłączeniem Flasha w swojej przeglądarce (przynajmniej na niezaufanych stronach) …a przed otwarciem Excela warto usunąć z niego obiekty Flasha.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

32 komentarzy

Dodaj komentarz
  1. No to cyberbandziory mają 7 dni na ataki, brawo Adobe. Z racji tego, że to 0day, to nie wiemy, kiedy tak naprawdę ataki się zaczęły.

  2. „Błąd dotyka wersje wcześniejsze niż 10.2.152.33”
    No urwał, WCZORAJ aktualizowałem flasha i mam wersję 10,2,152,32. Ściągałem z oficjalnej strony? Czy w takim razie we wersja 10.2.152.33 w ogóle istnieje?

  3. …a poza tym uważam, że flasha należy zniszczyć. To jedyna rzecz, w której zgadzam się ze Stiwem.

  4. Wg stronki http://www.adobe.com/software/flash/about/ wersja 10.2.152.33 jest wydana jedynie na Mac OS, szybciej łatają wersje dla systemu Apple’a czy może w tej numeracji jest po prostu syf ?

  5. Ja mam pod Kubuntu wersję 10.3 d180 (choć pewnie jest to jakaś beta)

  6. Dla paranoików lub ludzi ceniących własne dane, instrukcja jak wyciągać Flashe-złośliwce z XLSów:

    https://www.walkernews.net/2008/03/22/how-to-extract-swf-flash-from-excel-or-word/

  7. Tyczy się to Linuksów? Bo nie wiem czy się bać czy nie. Mógłby ktoś kto umie wymodzić takiego “złośliwca” i dać tu linka, abym mógł na własnej maszynie sprawdzić?

    Ja uważam, że co najwyżej siadną iksy, ale wolę się upewnić.

    • W kwestii Linuksów mnie już podejrzana wydaje się kwestia otwierania plików w formacie .xls hehehe.

    • Niekoniecznie. Wystarczy odpowiednia strona czy nawet “skompilowany” SWF (w formie projektora).

    • Oczywiście to się tyczy .xls.

  8. chcesz zarobic na exploitach? skup sie na flash playerze.

  9. Koncza prace i przez tydzien beda testowac ta latke?

  10. @r9s: mają taki syf w kodzie, że się tydzień kompiluje :P

    Ja nie doczytałem artykułu do końca i już zacząłem sprawdzać moją wersję a tu trzeba poczekać cierpliwie na patcha. Chociaż od jakiegoś już czasu używam FlaschBlockera więc niechcianych flashek nie włączam.

  11. Tydzień czasu czekania na łatkę 0day’a ? No litości… I jeszcze to: “Adobe kończy pracę nad poprawką…” – to kiedy oni zaczęli nad nią pracę ?
    Ręce opadają…

  12. “ofiary otrzymują jako załącznik do e-maila plik Microsoft Excel”

    Czyli ponownie wystarczy przy korzystaniu z internetu używać MÓZGU, by nie złapać syfu. Ziew.

  13. Kolejny dowód na to że Flash to dziura na dziurze, i że strony powinny zacząć używać HTML5 (chociaż nie jestem do końca pewien czy to coś zmienia).

    • Zmienia, bo jest rywalizacja pomiedzy roznymi producentami przegladarek wiec staraja sie jak moga o brak dziur. Flash jest jeden.

  14. ALE panikujecie i przynudzacie ….

  15. Kolejny dowód że Adobe Flash (nie pamięci flash, to inna bajka* ;) ) jest tworzony z myślą o monopolu i zarobku a nie jakości… nigdy w życiu nie zainstaluję sobie ani nikomu Flash Playera co wam też doradzam! Takie tygodniowe łatanie to skutki polityki closed source, gdyby źródło było otwarte to sztab bezpieczeństwa dystrybucji GNU/Linux wydał by łatę w godzinę…

    Korzystając z Flasha _NIE DA SIĘ_ oglądać filmów z YouTube (480p!!!) na słabszym sprzęcie (<1GHz) a 'nieautoryzowany' odtwarzacz jak np. VLC wyrabia z łatwością zostawiając trochę wolnego czasu CPU…

    * pamięć flash też ssie, kupiłem pamięć USB (Patriot Xporter) która miała być zoptymalizowana pod kątem szybkości a zainstalowany na niej Debian tak samo wolno instaluje pakiety jak na najtańszym ADATA czy Emtec… wolę USB-HDD.

  16. Czy ktoś z Was testował może przy okazji tego konkretnego lub poprzednich exploitów dla Flash Playera jak w praktyce sprawdza się w tym przypadku Microsoftowy EMET?

  17. W tym swoim html5 to mozecie koledze strona domowa zrobic. Poza tym nic nie daje efektu flasha, jesli chodzi o urozmaicenie na stronie. Wyrzucic flasha to tylko tepy stevie potrafi, ale jemu nie chodzi o flasha tylko kase, w koncu przeciez kazdy by gral w flashowe gry, a nie z paple store. Niektorzy z was z mysleniem staja w epoce sredniowiecza – wyrzucic flasha, ale nie jestem pewien czy html5… az zal czytac.

    • Dziękuję za takie “urozmaicenia” które powodują sekundową latencję przy przewijaniu strony… i uniemożliwiają przeglądanie niewidomym i botom indeksującym…

      I nie wmówisz mi że technologia zamknięta jest lepsza od otwartej. Pamiętaj o jednym z prostszych powodów – ekonomiczne. :>

      “w koncu przeciez kazdy by gral w flashowe gry, a nie z paple store” – winni są twórcy gier którzy mogli by używać HTML5-canvas albo SVG, i by działało na każdej cywilizowanej przeglądarce korzystając z wyłącznie _otwartych_ technologii.

    • ‘winni są twórcy gier którzy mogli by używać HTML5-canvas albo SVG,’

      to jednak zdaje się świadczy, że jednak nie taki zły flash jak go malują, jakby był taki zły, a HTML5 taki dobry to z pewnością twórcy gier przesiedli by się, przecież nikt ich nie zmusza do używania flasha prawda?

      poza tym z kilkoma rzeczami się nie zgodzę, tzn. od wersji flashplayer 10.1 jest hardwearowa akceleracja odtwarzania H.264 co daje małe zużycie procka podczas oglądanie filmów, zdaje się co prawda, że trzeba w swojej aplikacji wykorzystać tą opcję a być może youtube tego nie robi, ale potencjał tutaj akurat jest

  18. Przesada z Linuksem.Żeby wykonać jakikolwiek kod pod Linuksem,trzeba nadać mu uprawnienia Root,a pracujemy z uprawnieniami użytkownika.Jeżeli coś podejrzanego zażąda ode mnie hasła super-użytkownika,to na pewno mu nie podam.Tym bardziej przy otwieraniu exela czy odtwarzaniu plików flash.Czy autor tego postu wie o czym pisze?A może jest na garnuszku Kasperskiego?

  19. @Singel: to pod linuksem można uruchamiać programy tylko z roota? A ja nieświadomy przez tyle lat uruchamiałem z konta zwykłego usera…

    Do usunięcia/wykradnięcia danych użytkownika root nie jest potrzebny.

  20. @moher i po co ten cynizm?Co bym czepiał się słówek?Wiadomo,że miałem na myśli uruchomienie złośliwego kodu,nie programu.Ile lat uruchamiałeś te programy?Na pewno niedawno skończyłeś 15?

  21. @Singel a czy while(true){void* p=malloc(10000) } jest niebezpiecznym kodem? Stawiam że tak aczkolwiek wątpię by wymagał uprawnień roota. Ja nie wiem skąd ludzie mają takie wrażenie na temat bezpieczeństwa Linuxów.

  22. @rox od razu widać,że nie używasz Linuksa.To jest OS z innej bajki.Ludzie używający Windowsa szukają programów w necie,ściągają i instalują.Ostatnio na forum gostek pytał się jak zainstalować Firefoksa 4 tar.gz2.Żeby jakikolwiek kod(czytaj program)uruchomić(w celu zainstalowania go) pod Linuksem,trzeba uczynić go wykonywalnym i potem jako root go zainstalować.Aplikacja zainstalowana przez zwykłego użytkownika nie ma dostępu do systemu i nic nie może mu zrobić.Programy linuksowe zgromadzone są w repozytoriach,które podpisane są kluczami publicznymi.Zalecane są bezpieczne,sprawdzone repozytoria.Inne dodaje się na własne ryzyko.Można też ściągnąć paczkę deb,rpm lub plik wykonywalny bin lub sh i na własne życzenie zainfekować sobie komputer.W przeciwieństwie do aplikacji windowsowych takie pliki można otworzyć jak plik tekstowy i zobaczyć co autor tam stworzył.Dopiero później instalować.Początkujący nie powinni instalować aplikacji z niepewnych źródeł.

  23. @Singel Ah tak więc według ciebie wszystkie programy na linuxie są w postaci nieskompilowanej jako skrypty no cóż nie wiem w takim razie po co gcc ludziom na linuxie skoro wszystko jest skryptem w Bashu czy innej powłoce. Widzisz jest wiele programów których nie ma w repo, i uwierz mi nie wszystko da się uruchomić geditem czy innym vi,nano. Nadal podtrzymam twierdzenie że Twoje wrażenie o bezpieczeństwie linuxa jest zbyt wygórowane. polecam test: napisać kod w C++ skompilować pod Linuksem i zobaczyć czy na pewno można podejrzeć plik wykonywalny :). Fakt w systemie raczej nie nabroisz łatwo ale zawiesić go to raczej nie problem.

  24. Uprawnień roota do uruchamiania programów naturalnie nie trzeba, ale bit wykonywalności ma być. No chyba że go lokalnie skompiluje (przynajmniej u mnie nie muszę wtedy ręcznie tego bitu dodawać).

    ps do narzekających na tydzień do łatki, pomyślcie sobie ile by to Microsoftowi zajęło. I bynajmniej nie mam na myśli 2-wtorku kwietnia aktualnego roku.

  25. […] wykradli bliżej niesprecyzowane dane związane z tokenami SecurID. W skrócie, trzasnęli ich 0day’em na Flasha – pracownik wyciągnął wiadomość ze spamu i otworzył (!) dołączony do niej […]

  26. […] Adobe ostrzega: poważny błąd i trwające ataki […]

Odpowiadasz na komentarz EuGene

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: