Új sérülékenység a nyugdíj előtt álló Flash-ben

Nulladik napi sérülékenységet fedezett fel és tapasztott be az Adobe: a Flash lejátszót érintő hibát egy Excel-fájl megnyitásával lehet előidézni. Noha a tervek szerint a több sebből vérző Flash-t az Adobe 2020-ban nyugdíjazza, javasolt a frissítés telepítése. (Kép: thehackernews.com)

Az Adobe már ki is adta a javítást az először június 7-én jelzett Flash sérülékenység megszüntetésére. A támadás újdonsága, hogy nem is kell már böngésző ahhoz, hogy ezt a hibát előidézzék a támadók, elegendő egy Excel-fájl megnyitása.

A támadás emailben vagy más üzenetben küldött Excel állománnyal indul, mely csupán annyit csinál, hogy egy távoli szerverről meghívja a Flash-sérülékenységet kihasználó hibát – vagyis maga az Excel-fájl nem fertőzött. Mivel az exploit távolról töltődik be, a támadó a célrendszer függvényében személyre szabott káros tartalmat juttathat el a gépre. A Flash-sérülékenység ezentúl további káros kódokat tölt le a gépre, ezzel hátsó ajtót nyit a megtámadott géphez. A támadás felismerését tovább nehezíti, hogy az távoli szerver és a megcélzott gép közötti adatfolyam titkosított.

Az Adobe tavaly nyáron jelezte, hogy lassan (előreláthatólag 2020-ban) nyugdíjba küldi a vitatott múltú Flash Playert. Az akkori közlemény szerint az óriási technológiai cégekkel közösen egyeztetve – Apple, Facebook, Google, Microsoft és Mozilla – szüntetik meg a legendás lejátszót. A Flash az oktatás, játékipar és videógyártók számára fontos platform.

A jelenlegi sérülékenységet az Adobe hibajavítása elhárítja, így aki használja, telepítse a patchet.