Veszélyes párost alkothat a Flash és a Word

Az Adobe Flash sebezhetőségei évek óta egyre nagyobb problémát jelentenek, és mind több kockázatot hordoznak. A veszélyekre jól rávilágított az RSA márciusi biztonsági incidense is, melynek során a támadókat egy Excel dokumentumba ágyazott, kártékony Flash objektum is segítette abban, hogy végül bizalmas információkhoz jussanak. A fejlesztők azóta ezt a biztonsági rést már befoltozták, de sajnos újabb sebezhetőségekre derült fény. 

Négy héten belül immár másodszor adott ki az Adobe biztonsági tájékoztatót nulladik napi Flash sebezhetőségek miatt. A legutóbbi hibát az a Mila Parkour nevű, független biztonsági szakértő jelezte a Flash fejlesztőinek, aki már korábban is számos sérülékenységre hívta fel az Adobe szakembereinek figyelmét. 

Az Adobe tájékoztatása szerint a sebezhetőség kihasználására alkalmas kódok eddig olyan Word dokumentumokban jelentek meg, amelyek egy beágyazott Flash objektumot, illetve SWF fájlt tartalmaztak. A biztonsági hiba alkalmas lehet az érintett rendszerek megbénítására, de egyes esetekben akár jogosulatlan távoli kódfuttatást is lehetővé tehet a támadók számára. Parkour a nemkívánatos kódot egy olyan Word dokumentumban fedezte fel, amelyet egy "Disentangling Industrial Policy and Competition Policy in China" tárggyal ellátott e-mailben kapott. A dokumentumban első ránézésre semmilyen gyanús tartalom nem volt, és tulajdonképpen egy hírlevél másolatát tartalmazta. A szakember figyelmét egy beágyazott Flash objektum keltette fel. 

Az Adobe közleményéből kiderül, hogy a sérülékenység érinti a Flash Player 10.2.153.1-es valamint az ennél korábbi verzióit, és a Windows, a Linux, a Solaris, illetve az Android platformok esetében is kockázatot jelent. Hasonlóan érintettek az Adobe Reader valamint Acrobat alkalmazások is, igaz ezek legújabb kiadásai a "Protected Mode"-nak köszönhetően a jogosulatlan kódfuttatásokat képesek meggátolni. 

Az Adobe egyelőre nem közölte, hogy Flash Player frissítésére mikor fog sor kerülni, de a Reader X valamint az Acrobat X vélhetően csak június 14-én kapja meg a foltját. A Microsoft korábban jelezte, hogy az objektumbeágyazásokból eredő kockázatok mérséklésében segítséget nyújthat az Enhanced Mitigation Experience Toolkit (EMET) valamint az Office 2010 esetében használatos Protected View sandbox technológia is.