Artykuły dotyczące tematu: Flash

dodany: 27.02.2013 | tagi: , ,

Adobe znów łata Flasha

0

Nie wiadomo czy cieszyć się z tego faktu, że Adobe stara się załatać błędy we Flashu, czy też może po prostu pogniewać się na firmę, że nie potrafi wprowadzić porządnych aktualizacji. W lutym wypuszczono już trzecią poprawkę! Niestety w przeciwieństwie do Javy, bez Flasha ciężko się dziś obejść.

Niech nie zmyli Was pozorne ulepszenie wydajności, bo o tym zawsze napiszą. Znów wykryto kolejne rażące luki, które były wysoce niebezpieczne, ponieważ pozwalały na przejęcie kontroli nad atakowanym systemem. Oprócz tego w pewnych bliżej nieokreślonych przypadkach wadliwy Flash mógł spowodować crash ;)

Najnowsze wydanie dla systemów Windows i Mac OS ma oznaczenie 11.6.602.171 (po raz pierwszy to samo oznaczenie), natomiast dla Linuksów 11.2.202.273. Na atak narażeni są użytkownicy Flasha 11.6.602.168 a także jego wcześniejszych wersji. W przypadku Linuksa zainteresować powinni się wszyscy posiadający Flasha z numerem 11.2.202.270 i wcześniejszymi.

Naprawione luki są opisane pod CVE-2013-0643 oraz CVE-2013-0648 – są one odpowiedzialne za wspomniane wyżej luki – atak można było przeprowadzić za pomocą spreparowanego pliku .swf – wystarczyło, aby ofiara kliknęła w niego, aby zostać przekierowana do strony ze złośliwą zawartością. Na pocieszenie pozostaje fakt, że atak ten był możliwy wyłącznie w przeglądarce Firefox.

Błąd opisany pod CVE-2013-0504 mógł spowodować przepełnienie buforu, który nie tylko mógł doprowadzić do zawieszenia systemu, ale także uruchomienia złośliwego kodu.

Wszystkie zmiany w nowych wydaniach są opisane w biuletynie bezpieczeństwa Adobe.

dodany: 09.08.2012 | tagi: , , ,

Sandboxing w Chrome

0

Programiści przeglądarki Chrome we współpracy z Adobe opracowali plugin do bezpiecznego korzystania z technologii Flash. Nie od dziś wiadomo, że Adobe ma spore problemy z bezpieczeństwem swoich produktów – w aktualizacjach zazwyczaj widzimy lakoniczną informację o „niesamowitym zwiększeniu wydajności”, a faktycznie sprawa dotyczy rażących błędów… Plugin przed uruchomieniem Flasha testuje go używając sandboxing’u. Aby ulepszyć tę technologię, producent przeportował swój Plugin Flash z starszego Netscape Plugin API (NPAPI) do architektury Google Pepper Plugin API (PPAPI). Ulepszenie jest dostępne na razie dla windowsowskiej wersji przeglądarki. Google chwali się, że zabezpieczenie to jest lepsze niż jakiekolwiek inne z tego powodu, że Flash nie używa mechanizmu ASLR (Address Space Layout Randomisation).

Usprawniona wersja pod Linuxa z dołączonym Flash’em, a także wersja pod OS X mają zostać wydane wkrótce. Co prawda Pepper API jest zaimplementowane w open source’owego Chromium, z tymże sam plugin Flash nie jest dołączony do przeglądarki, co nie pozwala na wykorzystanie w  pełni mechanizmu bezpieczeństwa.