Επίλυση Όλων Των Προβλημάτων Των Παραθύρων Και Άλλων Προγραμμάτων

Η Adobe επιβεβαιώνει το νέο σφάλμα μηδενικής ημέρας Flash

Η Adobe ενημέρωσε την Τετάρτη επτά κρίσιμα τρωτά σημεία στο Flash Player, συμπεριλαμβανομένου ενός που αναφέρθηκε από ερευνητές της Google ότι οι χάκερ χρησιμοποιούν «ενεργές στοχευμένες επιθέσεις». Οι επιτιθέμενοι σφαλμάτων εκμεταλλεύονται ένα ελάττωμα δέσμης ενεργειών μεταξύ ιστότοπων (XSS) στο πρόσθετο Flash Player που χρησιμοποιείται από τον Internet Explorer της Microsoft (IE).

'Αυτή η ενημερωμένη έκδοση επιλύει μια καθολική ευπάθεια δέσμης ενεργειών μεταξύ ιστότοπων που θα μπορούσε να χρησιμοποιηθεί για την εκτέλεση ενεργειών για λογαριασμό ενός χρήστη σε οποιονδήποτε ιστότοπο ή πάροχο αλληλογραφίας Ιστού, εάν ο χρήστης επισκεφθεί έναν κακόβουλο ιστότοπο', διαβάζει η συμβουλή ασφαλείας Adobe που συνόδευε τη χθεσινή ενημέρωση Flash. 'Υπάρχουν αναφορές ότι αυτή η ευπάθεια εκμεταλλεύεται στην άγρια ​​φύση σε ενεργές στοχευμένες επιθέσεις που έχουν σχεδιαστεί για να εξαπατήσουν τον χρήστη να κάνει κλικ σε έναν κακόβουλο σύνδεσμο που παραδίδεται σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου.'



Η επίθεση λειτουργεί μόνο κατά IE.



Η Adobe είπε ότι τα άλλα έξι τρωτά σημεία, όλα κρίσιμα κρίσιμα όπως το σφάλμα XSS, ήταν ελαττώματα καταστροφής μνήμης ή σφάλματα παράκαμψης ασφαλείας που «θα μπορούσαν να προκαλέσουν συντριβή και ενδεχομένως να επιτρέψουν σε έναν εισβολέα να αναλάβει τον έλεγχο του επηρεαζόμενου συστήματος».

Η Google πιστώθηκε ότι ειδοποίησε την Adobe για την ευπάθεια XSS, αλλά η Adobe δεν σημείωσε πότε η Google κατέθεσε την αναφορά σφάλματος ή πόσο καιρό οι επιτιθέμενοι εκμεταλλεύονταν το σφάλμα.



Για να επιδιορθώσει τα τρωτά σημεία, η Adobe ενημέρωσε το Flash Player 11 και το Flash Player 10 σε Windows, Mac OS X, Linux και Solaris και Flash Player σε Android.

Επίσης την Τετάρτη, η Google ενημέρωσε το Chrome για να προσφέρει το πρόσφατα ενημερωμένο Flash στους χρήστες του. Η Google έχει συσκευάσει το Flash Player με το Chrome από τον Απρίλιο του 2010 και παραμένει το μόνο πρόγραμμα περιήγησης που περιέχει το δικό του αντίγραφο του Flash Player.

Την περασμένη εβδομάδα, η Adobe επιβεβαίωσε ότι ο επόμενος στόχος της για ένα 'Sandboxed' Flash Player θα ήταν το plug-in για τον Internet Explorer. Αλλά η Adobe επιβεβαίωσε ότι ακόμη και αν η άμυνα ήταν σε ισχύ, οι ενεργές επιθέσεις που εκμεταλλεύονταν την ευαισθησία XSS που μόλις διορθώθηκε θα είχαν επιτύχει.



«Η καθολική ευπάθεια [XSS] σπάει το ίδιο μοντέλο ασφαλείας στο πρόγραμμα περιήγησης και επιτρέπει στον εισβολέα να« κάνει κλικ »για λογαριασμό του χρήστη με τρόπο που κανονικά δεν επιτρέπεται», δήλωσε η εκπρόσωπος της Adobe, Wiebke Lips, σε απάντηση μέσω email σε ερωτήσεις. «Όλη αυτή η δραστηριότητα πραγματοποιείται στο πλαίσιο του προγράμματος περιήγησης, οπότε η εκτέλεση του προγράμματος περιήγησης σε ένα sandbox χαμηλών δικαιωμάτων δεν θα άλλαζε τη συμπεριφορά της επίθεσης. Ακόμα κι αν είχαμε ένα σκληρό sandbox για το Flash Player στον Internet Explorer, αυτή η ευπάθεια θα μπορούσε να είχε αξιοποιηθεί με τον ίδιο τρόπο ».

Η Adobe ολοκλήρωσε μια δοκιμή Flash για Chrome το 2010 και μόλις κυκλοφόρησε μια beta του Sandboxed Flash για τον Firefox του Mozilla στα Windows Vista και Windows 7.

πρέπει να έχει λογισμικό για windows

Η ενημέρωση Flash της Τετάρτης ήταν η πρώτη φέτος για το πρόγραμμα αναπαραγωγής πολυμέσων, αλλά το λογισμικό απαιτεί επιθετική επιδιόρθωση: Το 2011, η Adobe διόρθωσε ελαττώματα Flash εννέα φορές.

Οι ενημερωμένες εκδόσεις του Flash Player για Windows, Mac, Linux και Solaris μπορείτε να τα κατεβάσετε από την ιστοσελίδα της Adobe. Εναλλακτικά, οι χρήστες μπορούν να εκτελέσουν το εργαλείο ενημέρωσης του Flash ή να περιμένουν από το λογισμικό που θα τους ζητήσει να είναι διαθέσιμη μια νέα έκδοση.

Οι χρήστες Android μπορούν να ανακτήσουν τη νέα έκδοση από το Android Market Ε

Γκρεγκ Κάιζερ καλύπτει τη Microsoft, θέματα ασφάλειας, Apple, προγράμματα περιήγησης στο Web και γενικές ειδήσεις τεχνολογίας για Computerworld Ε Ακολουθήστε τον Gregg στο Twitter στη διεύθυνση @gkeizer , ή εγγραφείτε στη ροή RSS του Gregg. Η ηλεκτρονική του διεύθυνση είναι gkeizer@ix.netcom.com Ε

Επιλογή Συντάκτη

Microsoft Blogwatch It

Microsoft Blogwatch It

Κριτική: Ο Internet Explorer 7 δεν έχει ψυχή

Ένα πράγμα που έμαθα για την αναθεώρηση λογισμικού και υλικού τα τελευταία 20 χρόνια, λέει ο Scot Finnie του Computerworld, είναι ότι αν δεν με ενδιαφέρει όταν δοκιμάζω για πρώτη φορά τις νέες δυνατότητες ενός προϊόντος, είναι απίθανο να γίνω πραγματικός χρήστης αργότερα Ε

Πώς να εκμεταλλευτείτε πλήρως τις δυνατότητες αποκατάστασης της ιδιωτικής ζωής του Android 10

Προσοχή, κάτοχοι συσκευών Android: Ακολουθήστε αυτά τα γρήγορα βήματα για να βεβαιωθείτε ότι θα επωφεληθείτε πλήρως από μία από τις σημαντικότερες προσθήκες του Android 10.

Το VMware αγοράζει το SpringSource σε κίνηση cloud

Κανένας

Αποκτήστε πρόσβαση στην παλιά μονάδα δικτύου Stora μέσω USB

Γεια, Για πολλά χρόνια, είχα ένα Netgear Stora NAS να λειτουργεί ομαλά, αλλά πρόσφατα διέκοψαν την υποστήριξη για αυτό, αφήνοντάς μου με 1TB Mirrored τούβλο. Έχω βάλει μία από τις μονάδες δίσκου σε ένα USB