Egy héttel ezelőtt arról számoltunk be, hogy az Adobe Flash Playerben valamint az Acrobat és Reader alkalmazásokban egy súlyos sérülékenységre derült fény, amely a számítógépekhez történő jogosulatlan hozzáférésre, illetve az azokon való jogosulatlan kódfuttatásra is lehetőséget adhat a támadók számára. Akkor az Adobe annyit közölt, hogy a Flash Player 10.1 tesztverziója nem tartalmazza a hibát, ezért annak telepítése megoldhatja a problémát.
A múlt hét végén az Adobe úgy határozott, hogy nem vár tovább, és a Flash Playernek kiadja a 10.1-es, végleges változatát, amivel egyúttal meg is szünteti a súlyos sérülékenységet. Arra lehetett számítani, hogy a fejlesztők az új verzióba további hibajavításokat is belecsempésznek, azonban arra nem sokan mertek volna fogadni, hogy a cég végül több mint harminc sebezhetőséget fog orvosolni. Pedig ez történt. Ráadásul a legtöbb biztonsági rés puffertúlcsordulási hibára vezethető vissza, és kártékony kódok jogosulatlan futtatására is lehetőséget adhat. A sérülékenységek zöme speciálisan szerkesztett, SWF-állományok révén válhat kihasználhatóvá. Az Adobe a memóriakezelési rendellenességek mellett a Chrome és Firefox böngészőkkel valamint a VMware alapú virtualizációval kapcsolatban az utóbbi időben felmerült kompatibilitási problémákat is megszüntette.
A Symantec szerint szerencsére a legutóbb felfedezett, Flash-sel kapcsolatos sérülékenység kihasználására eddig nem került széles körben sor, noha a hibára épülő károkozások száma folyamatosan nő. A cég úgy látja, hogy mivel a biztonsági résben rejlő lehetőségek kiaknázására szolgáló exploit kód már elérhető az interneten, ezért a következő napokban, hetekben egyre több, ilyen jellegű támadással kell számolni.
Nem szabad megfeledkezni arról, hogy a Flash-ben kimutatott sebezhetőség érinti az Acrobat valamint a Reader alkalmazásokat is. Azonban ezekhez a szoftverekhez - a jelenlegi tervek szerint - az Adobe csak június 29-én fog frissítést kiadni, vagyis addig célszerű óvatosan bánni azokkal a PDF-állományokkal, amelyek SWF tartalommal is rendelkeznek. Az Adobe azt is közölte, hogy akik eddig a Flash Player 10.1 béta verzióját használták, azoknak a végleges kiadás telepítése előtt el kell távolítaniuk a tesztverziót.
Az Isidor Biztonsági Központ felhívta a figyelmet arra, hogy a Flash Player frissítésére a Windows, a Linux valamint a Mac OS X alapú rendszerek esetében is szükség van.
A cikk a Computerworld biztonság rovatában jelent meg.
