markasblog

Adobe w dniu dzisiejszym opublikował najnowszą wersję Flash Playera oznaczoną numerem 11.2. Nowa wersja to między innymi większe bezpieczeństwo, ponieważ wyeliminowane zostały dwie luki w zabezpieczeniach z których każda umożliwiała uszkodzenie pamięci, a w efekcie wykonanie zdalnie dowolnego kodu. W rankingu Adobe obie luki klasyfikowały się na drugi poziom ważności w 3-stopniowej skali zagrożenia. Problem dotyczy Adobe Flash Playera 11.1.102.63 i wersji wcześniejszych dla systemów Windows, Macintosh, Linux i Solaris oraz wersji 11.1.111.7 i wcześniejszych dla systemu Android 3.x i 2.x.

Najnowsza wersja wprowadza również nową funkcję cichych aktualizacji. Opcja ta staje się dostępna po zainstalowaniu najnowszej wersji oprogramowania i odpowiednim skonfigurowaniu opcji. Nowa wersja dopuszcza trzy sposoby aktualizacji:

• automatyczna aktualizacja w tle bez żadnej interakcji z użytkownikiem
• powiadomienie o dostępnych aktualizacjach bez ich instalacji
• nie sprawdzanie dostępności aktualizacji

Mechanizm cichej aktualizacji będzie co godzinę, aż do skutku (do momentu pojawienia się odpowiedzi ze strony serwera Adobe) próbował połączyć się z serwerem w celu sprawdzenia dostępności aktualizacji. Jeżeli aktualizacje nie są dostępne kolejna próba aktualizacji nastąpi po 24 godzinach.

Wraz z głównym programem, aktualizowane będą również wtyczki zainstalowane w przeglądarkach internetowych. Wyjątkiem tutaj będzie Internet Explorer 6, którego wsparcie jest już masowo porzucane przez producentów oprogramowania. Od wersji 11.2 Flash Player zgodnie z informacją przekazaną przez Peleusa Uhleya będącego strategiem bezpieczeństwa w firmie Adobe, IE6 nie będzie już wspierane.

Adobe zaznacza, że pomimo zgody na ciche aktualizacje, nie wszystkie pakiety będą instalowane bez wiedzy użytkownika. Te aktualizacje, które będą zmieniać ustawienia domyślne odtwarzacza Flash, będą wymagały zgody użytkownika.

W tym momencie ciche aktualizacje działają tylko na systemie Windows, ale Adobe zapowiada szybkie wydanie wersji dla pozostałych obsługiwanych systemów.

Peleus Uhley zaznacza, że nowa funkcja to bardzo duży krok naprzód w walce z cyberprzestępcami, ponieważ można za pomocą cichych aktualizacji dużo szybciej łatać wykryte w produkcie luki zero-day.  To również większy komfort dla samych użytkowników, którzy nie będą już musieli pamiętać o aktualizacji Flasha.

Adobe ostatnimi czasy bardzo mocno popracował nad bezpieczeństwem Flash Playera. Częstsze, zgodnie z harmonogramem przeprowadzane aktualizacje, przejrzysta skala według której klasyfikowane są zagrożenia a teraz automatyczne ciche aktualizacje pokazują, że wszędzie kryje się potencjał, który dobrze wykorzystany może okazać się bardzo cennym wkładem w wizerunek nie tylko samego produktu, ale całej firmy.

Adobe w dniu wczorajszym opublikował informację o wydaniu łaty bezpieczeństwa dla Flasha. Jest to druga akcja łatania Flasha w tym roku, a od pierwszej akcji minęło niespełna 3 tygodnie. Najnowsze poprawki bezpieczeństwa eliminują 2 luki w zabezpieczeniach, z których każda może potencjalnie umożliwić przejęcie kontroli nad systemem. Jeden z błędów wykorzystywał klasę Matrix3D należącą do ActionScript i mógł doprowadzić do wykonania dowolnego kodu lub wycieku pamięci. Drugi błąd, w niektórych wersjach Flasha dotyczył niepopranej obsługi liczb całkowitych i mógł zostać użyty do przechwycenia poufnych informacji. Według Adobe błędy, które zostały wyeliminowane przez najnowszą poprawkę nie były jeszcze wykorzystywane przez napastników i dlatego też priorytet ważności tej aktualizacji został określony na 2 w trzystopniowej skali.

Skala ważności poprawek jest stosunkowo młodym tworem w Adobe. Pomaga ona określić ważność danej poprawki. I tak:

• Priorytet 1 to poprawki bezpieczeństwa o najwyższej ważności, które powinny być instalowane przez domowych użytkowników niezwłocznie po publikacji i w przeciągu 72 godzin po publikacji przez przedsiębiorstwa
• Priorytet 2 to poprawki bezpieczeństwa o średniej ważności, które powinny być instalowane najpóźniej 30 dni po publikacji aktualizacji; dotyczą luk w zabezpieczeniach, które są potencjalnie niebezpieczne.
• Priorytet 3 to poprawki bezpieczeństwa o najniższej ważności, które można, ale nie trzeba instalować, ponieważ dotyczą luk w zabezpieczeniach, które nigdy wcześniej nie zostały wykorzystane do ataku.

Przedstawiciele Adobe przyznają, że nowy system oznaczania ważności poprawek bezpieczeństwa jest wzorowany na tym Microsoftu. Ma to na celu wprowadzenie większej systematyczności w wydania aktualizacji. Nie wyklucza się także, że poprawki dla produktów Adobe będą wydawane cyklicznie na wzór biuletynów Microsoftu.

Zaktualizowaną wersję Flash Playera dla systemów Windows, Linuks, Mac oraz Solaris można pobrać tutaj. Wersję dla Androida można pobrać z Android Market.

Najnowsza wersja przeglądarki Google Chrome ma już zaimplementowaną najnowszą wersję produktu Adobe.

Adobe udostępnił w kanale beta wersję platformy Flash z zaimplementowanym mechanizmem sandbox dla przeglądarki Firefox. To kolejny krok w drodze do pełnej izolacji procesów oprogramowania Adobe od produktów, które korzystają z tej technologii oraz spełnienie obietnicy danej użytkownikom przy okazji wydania stabilnego Flasha z sanboxem dla przeglądarki Google Chrome, które miało miejsce rok temu. Dla przypomnienia, mechanizm sandbox działa w oparciu o bardzo niską integralność z głównym programem, a sam proces ma bardzo mocno ograniczone uprawnienia do reszty systemu. Izolacja procesu od systemu operacyjnego skutkuje zminimalizowaniem szansy na skuteczny atak za pomocą exploita. Dowodem na skuteczność mechanizmu „piaskownicy” jest fakt, iż przeglądarka Google Chrome nigdy nie stała się ofiarą udanego ataku z wykorzystaniem oprogramowania Flash.

Do tej pory Adobe zaimplementowało mechanizm sandbox w oprogramowaniu Adobe Reader X, oraz platformie Flash dla przeglądarki Google Chrome. Wersja beta przeznaczona dla Firefoksa działa na systemach operacyjnych Windows Vista oraz Windows 7.

Przedstawiciele firmy Adobe zdają sobie sprawę, że droga jaką mają przed sobą nie kończy się na dwóch przeglądarkach. Docelowo w planach jest wydanie Flasha z sandboxem na wszystkie popularne przeglądarki. Dzięki temu producenci Adoba liczą na zmniejszenie zainteresowania hakerów swoimi produktami. W tym momencie już trwają pracę nad sandboxem dla Internet Explorera, ale ze względu na zupełnie inną architekturę oprogramowania związana z wykorzystaniem ActiveX, proces wydłuża się w czasie.

Wersja finalna Flasha z sandboxem dla przeglądarki Firefox powinna pojawić się jeszcze w tym roku.

Po tym jak Adobe w poniedziałek opublikował informację o istnieniu luki zero-day  w odtwarzaczu Flash Player, która umożliwia przeprowadzenie ataku przy użyciu odpowiednio spreparowanego pliku Excel, Google we wtorek wydał aktualizacje przeglądarki Chrome, w której ten problem został wyeliminowany. Tak szybka reakcja jest efektem ścisłej współpracy Adobe z Google, która trwa od kwietnia 2010. Na mocy umowy spisanej pomiędzy dwoma gigantami, Adobe udostępnia nowe wersje oprogramowania Flash programistą Google w celu testów i późniejszej integracji.

Często w tej sytuacji zdarza się, że przeglądarka od Google pracuje z najnowszą wersją Flasha, zanim jeszcze jest ona dostępna do pobrania przez użytkowników innych przeglądarek internetowych. I tak jest i w tym przypadku. Firefox, Safari, IE oraz Opera muszą czekać na oficjalne udostępnienie najnowszej wersji Flasha, a tymczasem Chrome już teraz pracuje z wersją 10.2.154.25 programu Flash Player.

Najnowszą wersję Chrome oznaczoną numerem 10.0.648.134 można pobrać ze stron producenta odpowiednio dla systemu: Windows, Linux, Mac OS X.

Użytkownicy, którzy już korzystają z przeglądarki Chrome mogą, a nawet powinni skorzystać z opcji automatycznych aktualizacji.

Adobe po raz kolejny ma problem z bezpieczeństwem swoich produktów. Tym razem problem, jak nie trudno się domyślić, dotyczy luki w w Flash Playerze. Producent potwierdził w tym tygodniu, że w ich produkcie istnieje poważny błąd związany z bezpieczeństwem i jest on wykorzystywany przez cyberprzestępców. Do ataków wykorzystywany jest plik Excel, w którym osadzony jest obiekt Flash. W chwili obecnej atak w takiej formie ma dość mały zasięg działania. Należy jednak pamiętać, że sposób ataku z wykorzystaniem powszechnie zaufanych plików Excel może dość szybko stać się potężną bronią w rękach hakerów. W efekcie skutecznie przeprowadzonego ataku, cyberprzestępca może przejąć kontrolę nad systemem. Do tej pory Adobe nie otrzymało informacji o podatności na atak programu Adobe Reader oraz Adobe Creator.

Producent programu zapowiada wydanie poprawek dla Flasha, Adobe Readera oraz Adobe Creatora w przyszłym tygodniu. Wydana aktualizacja bezpieczeństwa uszczelni kod, który umożliwia zamieszczanie obiektów Flash w dokumentach PDF.

Aktualizacji nie zostanie natomiast poddany Reader X. Twórcy programu twierdzą, że mechanizm sandbox wbudowany w najnowszą przeglądarkę plików PDF skutecznie niweluje ryzyko ataku przeprowadzonego z użyciem luki w platformie Flash. Dodatkowym argumentem za pominięciem Readera X w cyklu aktualizacji jest możliwość opóźnienia prac nad wydaniem poprawek dla programów Flash oraz Adobe Reader.

Billy Rios, inżynier zajmujący się sprawami bezpieczeństwa, pracujący dla Microsoftu na swoim blogu opublikował informację, jakoby miał znaleźć sposób na ominięcie zabezpieczeń sandbox zastosowanych w Adobe Flash Player. W tym celu został użyty specjalnie przygotowany plik SWF, za pośrednictwem którego atakujący może uzyskać dostęp do plików. Sandbox na chwilę obecną ograniczył dostęp do plików do poziomu sieci lokalnej.

Rios jednak zaznaczył, że to kwestia czasu, aż ktoś znajdzie protokół, który nie jest wpisany na czarną listę sandboxa i w ten sposób będzie mógł przejąć kontrolę nad systemem z poziomu globalnej sieci.

Rzecznik Adobe poinformował o zakwalifikowaniu wykrytej luki w zabezpieczeniach jako umiarkowanej. Według Adobe:

Osoba atakująca musiałaby w pierwszej kolejności uzyskać prawa dostępu do systemu plików atakowanej maszyny w celu umieszczania w nim specjalnie spreparowanego pliku(…) W większości przypadków nie da się uruchomić pliku SWF poprzez dwukrotne kliknięcie; użytkownik musi sam uruchomić plik w aplikacji.

Wczoraj w godzinach popołudniowych na blogu Adobe pojawiła się informacja o wykryciu kolenej luki w zabezpieczeniach programów Adobe Acrobat i Acrobat Reader, którą można określić jako krytyczną. Problem dotyczy najnowszych wersji programów, czyli gałęzi 9.2 oraz wcześniejszych z  zainstalowanymi najnowszymi aktualizacjami. Wiadomo także, że luka już teraz jest wykorzystywana do ataku na komputery nieświadomych użytkowników oraz, że Adobe wciąż nie opracował stosownej łatki, która rozwiązałby problem. Z informacji na blogu można również dowiedzieć się, że informacja o luce wpłynęła do Adobe od firmy zewnętrznej, która jest jedynie kontrahentem twórcy Acrobata i Adobe Readera zajmującym  się kwestiami bezpieczeństwa produktów Adobe.

Firma zobowiązała się wkrótce opublikować szersze informacje na temat wykrytej luki oraz jak najszybciej przygotowac stosowną poprawkę. Nie wiadomo również, czy poprawka zostanie udostępniona w normalnym cyklu, czyli w połowie stycznia, czy wcześniej.

Adobe wypuścił kolejną poprawkę do swojej stabilnej wersji Flash Playera. Najnowsza odsłona eliminuje kilka znanych podatności na przeprowadzenie ataku. Luki umożliwiały zawieszenie Flasha, a także wykonanie dowolnego kodu na komputerze ofiary co mogło doprowadzić do przejęcia całkowitej kontroli nad maszyną. Kolejne poprawki dotyczyły luki umożliwiającej wstrzyknięcie danych , błąd parsowania danych JPEG oraz błędy w dostępie do pamięci.

Wysoce zalecana jest aktualiacja oprogramowania Flash na komuterach do najnowaszej wersji oznaczonej numerem 10.0.42.34.

O tym, że Adobe pracuje nad rewolucyjnym Flashem oznaczonym jako 10.1, który ma się również uruchamiać na platformach mobilnych informowałem jakiś czas temu. Najnowszy Flash tworzony jest również z myślą o coraz popularniejszych platformach mobilnych takich jak Windows Mobile, BlackBarry OS, Android czy Symbian, ma zapewniać wsparcie dla sprzętowej akceleracji grafiki 2D i 3D oraz strumieni wideo. Teraz Adobe postanowił oddać w ręce użytkowników wersję beta Flasha. Na stronie Adobe Labs producent zachęca do instalowania wersji rozwojowej swojego oprogramowania i korzystania z niej, aby w ten sposób pomóc w wyeliminowaniu jak największej ilości błędów oraz wprowadzeniu usprawnień. Wersja beta Flasha 10.1 jest dostępna dla systemów Linux, Windows i Mac OS X działających na architekturze 32-bitowej. Niestety architektura 64-bitowa wciąż w oczach Adobe nie jest warta uwagi.

Wersję beta Flash 10.1 można pobrać tutaj.

Wyjątkowo chyba nie będę zachęcał do testowania najnowszego produktu Adobe. Osobiście jestem entuzjastą nowości i bardzo chętnie uczestniczę w beta testach, ale do produktów Adobe nie mam zaufania ze względu na powszechnie znane problemy z bezpieczeństwem. Jeżeli wersje stabilne oprogramowania Flash są pełne luk w zabezpieczeniach (ostatnio wykryto kolejną), a sam Adobe nic sobie z tego nie robi, to nawet nie chce wiedzieć jaka jest jakość wersji beta oprogramowania ze stajni Adobe.

Specjaliści z firmy Foreground Security poinformowali o wykryciu luki pozwalającej na zamieszczanie szkodliwych obiektów Flash na stronach internetowych za pomocą prostych formularzy do przesyłania plików na serwer. Okazuje się, że luka omija zabezpieczenie opierające się na zasadzie identycznego pochodzenia, która blokuje potencjalnie niebezpieczne elementy pochodzące z innej strony, niż aktualnie wyświetlona. Adobe obarcza winą twórców stron internetowych, którzy umożliwiają umieszczanie aplikacji internetowych w ich oryginalnej domenie.

Dyrektor ds. bezpieczeństwa produktów Adobe zwraca uwagę na fakt, iż problem dotyczy nie tylko stron korzystających z technologii Flash, ale i Java Script i Silverlighta, co powoduje, że jedynym i najszybszym sposobem na wyeliminowanie błędu jest poinformowanie o nim webmasterów, którzy dzięki modyfikacji kodu, mogliby zapobiec niebezpieczeństwu.

Rozwiązanie jednak nie jest tak oczywiste jak wskazuje Adobe. Specjaliści z Foreground Security wskazują pewne niedociągnięcia takiego rozwiązania problemu. Jednym z nich jest fakt, że wielu administratorów serwisów nie zdaje sobie sprawy z konieczności wprowadzania zmian. Jako przykład można podać stronę Adobe, która na atak z wykorzystaniem opisywanej luki jest podatna.

Jak widać Adobe może za chwilę zostać przyparty do muru. Nie jest dobrym rozwiązaniem wypinanie się na użytkowników, każąc im tworzyć takie aplikacje, które nie będą podatne na ataki przeprowadzone przez błędy ukryte w samym silniku, który te aplikacje ma obsługiwać.