Video: Как установить / включить / отключить Adobe Flash Player в браузере Mozilla Firefox (December 2024)
De twee zero-day kwetsbaarheden, CVE 2013-0643 en CVE 2013-0648, werden misbruikt bij gerichte aanvallen waarbij gebruikers werden misleid om op een link naar een website te klikken die kwaadaardige Flash-bestanden hostte, zei Adobe in zijn beveiligingsadvies dinsdag. Het bedrijf heeft geen enkele organisatie of onderzoeker gecrediteerd die de zero-day kwetsbaarheden heeft gevonden, maar heeft IBM X-force gecrediteerd voor het melden van het derde beveiligingslek.
Adobe-beveiligingsingenieurs op de RSA-conferentie weigerden ook om aanvullende informatie te verstrekken.
"De exploit voor Cve 2013-0643 en CVE 2013-0648 is ontworpen om de Firefox-browser te targeten, " zei Adobe in het advies.
Aanvallers kunnen de beveiligingslekken veroorzaken waardoor Flash Player crasht en de computer op afstand bestuurt, zei Adobe. De zero-day bugs zijn gerelateerd aan een probleem met de machtigingen van de Flash Player Firefox-sandbox en een fout in de ActionScript-functie ExternalInterface, die kan worden misbruikt om schadelijke code uit te voeren. De derde, die momenteel nog niet wordt uitgebuit, was een kwetsbaarheid voor bufferoverloop in een Flash Player-brokerservice en kon worden gebruikt om schadelijke code uit te voeren, zei Adobe.
De update is van invloed op alle versies van Flash op Windows, Mac OS X en Linux. Gebruikers kunnen de nieuwste versie downloaden van de Adobe-website of achtergrondupdates inschakelen en de software de versie automatisch laten ophalen. Google en Microsoft werken Flash afzonderlijk bij op Chrome en Internet Explorer 10 (voor Windows 8).
Deze Flash-update is de tweede out-of-band patch voor Flash Player deze maand, de derde Adobe-patch in de maand februari en de vierde dergelijke patch die tot nu toe in 2013 is uitgebracht.
Het is bijna een jaar geleden dat Adobe autmatische updates voor Flash en Reader heeft ingeschakeld, en de updatesnelheid is enorm, vertelde Brad Arkin, senior directeur beveiliging en privacy bij Adobe, aan SecurityWatch tijdens de RSA-conferentie. Het vorige model waarbij gebruikers werd gevraagd om de nieuwste updates te downloaden, was niet voldoende om gebruikers Flash Player te laten patchen, zei Arkin. Met de verschuiving naar achtergrondupdates was het slagingspercentage aanzienlijk.
Ga naar onze pagina Rapporten weergeven om alle berichten van onze RSA-dekking te zien.