17 Μαρτίου 2011

Σημαντικό κενό ασφαλείας εντόπισε η Adobe σε Flash Player και Acrobat Reader



Η Adobe πρόσφατα εξέδωσε δελτίο τύπου στο οποίο αναφέρει ότι υπάρχει ένα σημαντικό κενό ασφαλείας (“critical”) στον Flash Player 10.2.152.33 (Adobe Flash Player 10.2.154.18 και προγενέστερες εκδόσεις για όσους χρησιμοποιούν τον Chrome ) για λειτουργικά Windows,Linux,Solaris και Macintosh. Σημαντικό είναι ότι στην αναφορά της περιέλαβε και τον Flash Player 10.1.106.16 αλλά και προγενέστερες εκδόσεις για το Android.


Πέραν όμως του flash player φαίνεται πως επηρεάζονται και άλλα προϊόντα της εταιρίας τα οποία περιλαμβάνουν το αρχείο Authplay.dll όπως τα Adobe Reader / Acrobat X στην έκδοση 10.0.1 και προγενέστερες εκδόσεις τους όπως 10.x και 9.x για Windows και Macintosh.

Το συγκεκριμένο κενό ασφαλείας (με κωδικό CVE-2011-0609) σύμφωνα με την εταιρία μπορεί να κρασάρει το σύστημα του χρήστη δίνοντας την ευκαιρία  στον επιτιθέμενο τα πάρει τον έλεγχο του συστήματος.

Υπάρχουν ήδη κάποιες αναφορές χρηστών οι οποίοι έχουν πέσει θύματα τέτοιας επίθεσης ανοίγοντας κάποιο συνημμένο αρχείο στο email τους που περιείχε μέσα ένα έγγραφο Microsoft Excel με ενσωματωμένο ένα αρχείο flash (swf). Η Adobe επισημαίνει ότι το “Protected Mode” στον Reader X  μπορεί να αποτρέψει την συγκεκριμένη επίθεση.

Ακόμη δεν έχει ανακοινωθεί κάποιο update από την εταιρία που να διορθώνει το πρόβλημα παρόλα αυτά επισημαίνουν ότι θα διατεθούν updates για τις εκδόσεις του Flash Player που προαναφέραμε, του Adobe Acrobat X (10.0.1/10.x/9.x)  για Windows,Mac,Linux,Solaris , του Acrobat Reader X (10.0.1) για Mac, καθώς και  των εκδόσεων Reader 9.4.2 / 9.x από τις 21 Μαρτίου και μετά.

Λόγω του ότι το protected mode στον Reader X δίνει μια προσωρινή λύση στο πρόβλημα, σκέφτονται να παρέχουν ένα συνολικό security update για την έκδοση Windows στις 14 Ιουνίου 2011.

[ Via ]