Adobe: Во Flash Player устранено семь опасных уязвимостей

AdobeКомпания Adobe Systems устранила семь уязвимостей в плагине Flash Player, выпустив уже пятое за текущий год обновление. Также сегодня была выпущена новая версия Flash Player для Mozilla Firefox, где поддерживается изолированная среда выполнения кодов - песочница. Помимо этого был выпущен инструмент для Mac OS X, позволяющий без вмешательства пользователей обновлять Flash Player. Также компания подготовила Flash Player для работы в будущей Mac OS X 10.8, которая теперь потребует подписи кода, если пользователи будут скачивать софт из источников, отличных от Mac App Store.

Данные обновления устраняют уязвимости, вызывающие крах в системе и позволяющие атакующему захватить контроль над целевым компьютером.

Устраненные уязвимости носили технический характер и были связаны с:

  • повреждением памяти;
  • переполнениями буфера обмена;
  • методами обхода средств безопасности.


Один из семи багов был связан с так называемой "бинарной посадкой" в инсталляторе Flash Player.
Бинарная посадка - это разновидность метода подгрузки злонамеренных DLL-библиотек в Windows. Так как многие Windows-приложения не вызывают DLL через полный путь к библиотеке, а используют относительные адреса, то хакеры могут определенным методом подменить библиотеку на злонамеренную, используя такое же название файла.

В отличие от баг-фикса, проведенного в мае, на сей раз во Flash Player были устранены уязвимости, которые не были использованы хакерами на практике. Информация о багах была получена от независимых специалистов, и от инженеров Google и Symantec.

Следует отметить, что Flash Player 11.3 получил версию для Firefox, теперь работающую "в песочнице". В данной версии проигрывателя процессы изолированы таким образом, что даже при взломе самого Flash Player, выйти за пределы системной памяти, занимаемой Flash Player хакеры не смогут. В Google Chrome песочница появилась впервые еще в конце 2010 года.

В новой версии Flash Player пользователи Mac OS получили инструмент, позволяющий обновлять плагин без участия пользователя. Этот инструмент идентичен тому, что ранее был реализован для Windows. Он ежечасно опрашивает серверы Adobe на предмет размещения на них обновлений Flash Player и при наличии такого обновления скачивает его и устанавливает, не выводя никаких сообщений пользователю. По умолчанию во Flash Player 11.3 эта возможность включена, но ее можно заблокировать.

И наконец, новая версия получила цифровой сертификат от Apple, позволяющий ставить Flash Player на систему под управлением Mac OS X 10.8 в обход Mac App Store. Напомним, в данной ОС появилась система Gatekeeper, контролирующая установку стороннего софта, предотвращая установку программ без сертификата, что, по замыслу Apple, должно блокировать вход вредоносному программному обеспечению.


Обновлено (09.06.2012 13:39)