8:45
16/2/2012

Adobe, Microsoft i Oracle wypuściły krytyczne aktualizacje dla swoich flagowych produktów: Flash Playera, Windowsa oraz Javy. Poniżej opis poszczegółnych błędów, ataków i exploitów, a także linki do aktualizacji. Poświęćcie chwilę i zaktualizujcie swoje systemy.

Aktualizacja Flash Playera

Adobe wypuściło aktualizację Flash Playera, która łata 7 “krytycznych” dziur. Jedna z nich pozwala atakującemu na wykonanie uniwersalnego ataku XSS na dowolnej stronie w imieniu ofiary (CVE-2012-0767). Exploit na tę podatność jest już wykorzystywany do ataków w internecie, ale na szczęście dotyczy tylko użytkowników Internet Explorer na Windows.

Flash Playera należy zaktualizować do wersji 11.1.102.62. Jeśli chcecie sprawdzić ktorą wersję aktualnie posiadacie, należy uda ć się na tę stronę. Z kolei biuletyn bezpieczeństwa od Adobe opisujący załatane w najnowszej wersji Flash Playera 7 podatności znajdziecie tutaj.

Aktualizacja Javy

Opis ryzyka dla 14 łatanych błędów można znaleźć w biuletynie Oracle. Ryzyko dla 5 łatanych błędów ma maksymalną wartość — przy pomocy odpowiednio spreparowanej strony na użytkownikach podatnej na atak wersji Javy można przeprowadzić atak drive-by download (automatyczna instalacja malware’u po wejściu na stronę).

Błędy zostały usunięte w Java SE 7 Update 3, Java SE 6 Update 31 oraz JavaFX 2.0.3. Aktualne wersje można ściągnąć stąd. Przed ich pobraniem warto całkowicie odinstalować Javę ze swojego systemu. Albo w ogóle nie pobierać poprawek i usunąć Javę (bo dla wielu z Was pewnie nie jest ona do niczego potrzebna).

Aktualizacja Windows

4 z 9 opublikowanych przez Microsoft biuletynów (łatających w sumie 21 błędów) zostały ocenione na najwyższym poziomie. Są to patche łatające podatności w sterownikach jądra, przeglądarce Internet Explorer, bibliotece C, oraz frameworku .NET i Silverlight.

Microsoft Patch Priority

Sugerowana kolejność łatania podatności

Aha i nie przeraźcie się. Po zaaplikowaniu poprawek mogą wystąpić false-positives w Microsoft Antivirus. Oprogramowanie zgłasza “wirusa” po wejściu na stronę Google…

To jest naprawdę “tłusty” czwartek ;)

Przeczytaj także:



43 komentarzy

Dodaj komentarz
  1. I tutaj wychodzi jedna z największych zalet Chroma – wtyczka Flasha wbudowana w przeglądarkę i razem z nią aktualizowana przez Google :)

    • ale mi zaleta, szkoda że mi oprogramowania do tostera nie zaktualizuje chrome

    • to juz wole Fx jest DIY :)

  2. Dlaczego nie jest napisane KIEDY wyszły poprawki? Mi się wydaje że tego typu poprawki wychodzą często i artykuł jest jakby o niczym.

    • No właśnie, wydaje Ci się. Polecam poczytać o planach wydawniczych aktualizacji tych firm to może trochę Cię oświeci.

  3. @nie wiem: data zamieszczenia postu może być jakąś wskazówką ;)

    • Dlaczego sugerujesz, że data zamieszczenia postu ma mieć związek z datą publikacji poprawek? Bo jak dla mnie to nie musi wcale.

    • @nie wiem
      “Dlaczego sugerujesz, że data zamieszczenia postu ma mieć związek z datą publikacji poprawek? Bo jak dla mnie to nie musi wcale.”
      Chyba jest logiczne, że Niebezpiecznik pisze o aktualnych rzeczach, nie? x.x
      Radzę też zauważyć, że w artykule masz linki. Akurat te, gdzie masz te daty, są ładnie umieszczone przy słowach ‘biuletyn’.
      Adobe swój wypuściło wczoraj. Oracle – jestem leniem i patrzę tylko na coś, co jest widoczne na pierwszy rzut oka, a więc luty. Microsoft – przedwczoraj. + Dolicz różnicę stref czasowych.

  4. eee… po instalacji FlashPlayer dostaję komunikat “Wystąpiły problemy z przesłaniem polecenia do programu” i wtyczka nie działa. Nie pomaga deinstalacja i takie tam. Zachciało się updateów :/

    • Mam podobną sytuację :/ Nie pomaga próba ponownej instalacji wtyczki przez firefoxa :/

    • Wybaczcie post pod postem ale znalazłem rozwiązanie. Trzeba osobno doinstalować flash 32 bit (wychodzi na to, że adobe trochę kłamie z tym, że dorzucili go do wersji 64bit). Po osobnej instalacji FF + Flash smiga prawidłowo

    • podstawy sie klaniaja
      FX nie jest 64 bitowy wiec chcac nie chcac musisz miec wtyczki 32 bitowe
      tak samo jak z kazdym innym programem ktory odpala sie w trybie x32

    • @angelus, kłania się czytanie ze zrozumieniem. Skoro ze strony Adobe ściągam plik instalacyjny z wyróżnioną w ramce adnotacją “Uwaga:Instalator 64-bitowej wersji programu Flash Player zawiera 32- i 64-bitową wersję programu Flash Player” to chyba mam prawo stwierdzić, że coś jest nie tak?

    • nawet nie wiedzialem ze takowa wersja istnieje :P
      no ale jak mowi stare porzekadlo – jak cos jest do wszystkiego to w sumie jest do niczego – co sam potwierdziles na swoim przykladzie
      wejdz na filehippo i sobie sciagnij wersje x64 i x32 [ w sumie 4 pliki ], najpierw x64 zainstaluj [ jesli masz takowy system ] potem x32 i wszystko ci bedzie ladnie smiegac
      zawsze tak instaluje i nigdy nie mialem problemow

  5. “Jedna z nich pozwala atakującemu na wykonanie uniwersalnego ataku XSS na dowolnej stronie w imieniu ofiary (CVE-2012-0767). (…) na szczęście dotyczy tylko użytkowników Internet Explorer na Windows.”
    Nie rozumiem – to admin strony musi włączyć przez IE czy atakujący? Jeśli admin to ryzyko ataku jest znikome, a jeśli atakujący to dla broniącego się nie ma to najmniejszego znaczenia.
    “Albo w ogóle nie pobierać poprawek i usunąć Javę (bo dla wielu z Was pewnie nie jest ona do niczego potrzebna).”
    Fajnie by było :)
    A do aktualizacji Windowsa już nie mam zdrowia, każdą 10KB bzdurkę muszę próbować po 10 razy zanim zaskoczy.

    • Dobra, załapałem z tym IE ;) Chyba za dużo pączków, bo już nie myślę…

  6. Polecam ninite.com, wlasnie zaktualizowalem flashe i jave dwoma 3 kliknieciami.

  7. A co z użytkownikami bety sandboksowego flasha 11.2? Dla nich też jest aktualizacja? Ta strona adobe jest tak genialnie przejrzysta, że ciężko cokolwiek znaleźć.

  8. Flasha należy zauktualizować do: 11.2.202.197 Beta 5, a Jave najlepiej do Java 7 Build b11

    • Java 7 nie polecam z uwagi na brak pełnej wstecznej kompatybilności.

    • akurat to moge potwierdzic sam, ja zaczolem experymentowac z java 7
      troche programow mi sie wysypalo i dopiero bo szczegolowym wgladnieciu w dokumentacje doczytalem ze niektore klasy sa niekompatybilne wstecznie, ale mimo wszystko czesc programow ktore korzystaja z ogolnych funkcji dziala 2 razy szybciej
      pewnie poprawia jak im sie swiatek programistow javy zwali na leb, bo narzie i tak jeszcze wszyscy na java 6 jada

  9. Uwielbiam strony wielkich korporacji. Nigdy nic nie znajdziesz…

    Jedyne do czego się doklikałem to: http://helpx.adobe.com/flash-player.html Ciekaw jestem jak mam trafić na http://www.adobe.com/software/flash/about/
    Nawet zmieniając lokalizację na USA przy pobieranie mam język polski…

  10. Nie wiem jak wam ale mnie Flash i Windows zainstalował łatki z automatu, a Java do gówno i tyle…

    • No ale jednak Java ciągle się przydaje do wyświetlenia pewnych elementów (np. wykresów notowań funduszy na stronach mBanku). Czasami aplet Java uruchamia się na stronie logowania (np. w Danii jest system Nem ID do logowania się niemal wszędzie jedną nazwą użytkownika i hasła, uruchamia on aplet Javy). Można to sprawdzić choćby na stronie Danskebank.dk i wielu innych duńskich stronach umożliwiających logowanie do systemu. Tak więc Java nie jest może niezbędna, ale jednak sporo osób ciągle jej potrzebuje.

    • Zapomniałem dodać, że w Polsce Java jest potrzebna do uruchomienia aplikacji elektronicznej faktury (choćby na stronie Play24 czy Moje UPC).

  11. Mnie za to denerwuje inna rzecz związana z Adobe Flash:
    Adobe twierdzi że instalka zajmuje 3.5MB, pobiera się tylko instalator 700kB a reszta się dopiero dociąga z netu.
    Kiedyś bez problemu można było znaleźć pełną instalkę, teraz jest to prawie niemożliwe, a wolałbym mieć całość pod ręką.

  12. I tu wychodzi zasadniczy problem, mianowicie brak automatycznych aktualizacji. Jeśli nie wchodzi się na strony typu Niebezpiecznik.pl czy Dobreprogramy.pl (a kto nie interesuje się głębiej komputerami po prostu na nie nie wejdzie) można nie wiedzieć o tym, że wyszła nowa Java. Adobe Flash Player spisał się dobrze i poinformował o aktualizacji.

    • i tu sie mylisz
      wystarczy zwykly filehippo updater wlanczajacy sie po starcie systemu
      zreszta polski portal i warty zauwazenia

    • Wystarczy apt-get :P

  13. Java czasami się przydaje (np. niektóre switche zarządzalne), a do Firefoxa jest fajny dodatek: QuickJava. Można szybko i wygodnie wyłączać / włączać: JS, Javę, Flasha, SilverLight, obrazki i CSS. Javę mam domyślnie wyłączoną od dłuższego czasu… a do flasha polecam Flashblocka.

  14. Co taki ładny obrazek generuje? https://niebezpiecznik.pl/wp-content/uploads/2012/02/6646-350×197.png

  15. Używam Secunia PSI. Dokonałem aktualizacji wszystkich tych programów. Wynik.
    Flash – Unpatched, no vendor solution.
    IE 9 – Unpatched, no vendor solution.
    Java 6.31 – Unpatched, no vendor solution.
    Albo Secunia opóźnia weryfikację tych błędów (tak bywa), albo jak w niektórych programach, np. VLC media player – aktualizacja nie usuwa błędów i to któraś z kolei aktualizacja… To po prostu irytuje…

  16. Niby łatka wyszła, a mi nadal ff się wiesza przy yt i innych flashowych rzeczach… wystarczy, że jest na stronie okienko z yt to juz firefox pada i musze zakończyć proces “plugin container”… i tak za każdym razem, wszystko musze na telefonie oglądać to już jest męczące, mogli by się tym zając bo dużo ludzi ma ten problem…

    • U mnie podobny problem robił chrome i leżał on (jak się później okazało) w dwóch równocześnie zainstalowanych flashach – jednym systemowym, a drugim automatycznie aktualizowanym przez przeglądarkę, po wyłączeniu jednego z nich wszystko wróciło do normy. To nie pierwszy raz, kiedy przy aktualizacji flasha dzieje się coś takiego. Ale to chrome. Pokopałam trochę i jedyną sugestią z potwierdzonym działaniem jest wyłączenie plugin-containera. Wpisz po prostu w pasku adresu about:config, zatwierdź to i po wyszukaniu “klucza” dom.ipc.plugins.enabled zmień go na false. Powinno go wyłączyć. ;)

    • Po prostu nie wierzę, że to zależało od takiej głupoty… Dzięki CI wielkie, chociaż już powoli byłem przyzwyczajony do omijania większości stron, na które kiedyś regularnie wchodziłem, teraz wszystko działa bez najmniejszego problemu, wielkie dzięki jeszcze raz :)

  17. I wtedy kompletnie wyłączyć warstwę bezpieczeństwa która istaniała w IE już od wersji 7?
    plugin-container powinien pojawić się znacznie wcześniej, hostowanie pluginów w oddzielnych procesach to doskonały pomysł jeśli nie można użyć środowisk zarządzanych takich jak .NET i jego mechanizm AppDomain. Chrome IE i dopiero ostatnio Firefox mają funkcjonalność której niestety brakuje w Operze.
    Biadolenie o częstych aktualizacjach i dziurawym oprogramowaniu powinno być zakazne osobom które wyłączają takie funkcje jak “dom.ipc.plugins.enabled” czy Windows Update.

    • A niby co mam zrobić, jak od ponad miesiąca nie mam możliwości odpalenia żadnego filmiku z takich stron jak np yt albo sadistic? Nie mówiąc już o innych rzeczach odtwarzanych przez flasha, po to mam internet, żeby z niego korzystać i to jest dziura w oprogramowaniu jeżeli przeglądarka czy o co dokładniej chodzi mi to uniemożliwia, to nie jest moja zachcianka, że chce bezproblemowo poruszać się po internecie.

    • To, co zaproponowałam jest tylko rozwiązaniem tymczasowym. Sama nie korzystam z ff, więc nie mam tego problemu. Zapewne przy kolejnych aktualizacjach flasha błąd przestanie się pojawiać, albo na jakimś forum ff pojawi się bezpieczniejsze wyjście. W obu przypadkach pozostaje czekać i szukać innego wyjścia. Tymczasowo (co zaznaczam) można się poratować tym rozwiązaniem. Mój błąd, że nie uściśliłam.
      A co do “bidolenia” – nie mam w zwyczaju narzekać na aktualizacje. Jeżeli łatki się pojawiają to świadczy o rozwoju produktu i są one jak najbardziej pożądane. Nie wiem, gdzie tam niezadowolenie znalazłeś, ale ok ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: