Domov      Nastavenia 
RSS English Slovensky

Zahraničné zdroje
Nahlásené incidenty
1.1.2017 - 31.12.2017
 

Graf

Kritická zraniteľnosť Adobe Flash Player so zverejneným popisom

28.11.2018
Adobe Flash Player obsahuje kritickú zraniteľnosť, ktorá umožňuje útočníkovi vzdialene vykonávať kód. Súvisí s chybou komponentu AVM, kedy tento pred použitím neoveruje typ objektu, ktorý mu bol zadaný. Informácie o zraniteľnosti boli zverejnené, preto sa odporúča bezodkladné odstránenie zraniteľnosti.

 

Dôsledky
Vzdialené vykonávanie kódu

Opis činnosti
CVE-2018-15981

Izraelský výskumník Gil Dabah objavil kritickú chybu v Adobe Flash Player, ktorá umožňuje vzdialene vykonávať kód. Informácie o nej zverejnil päť dní predtým, ako spoločnosť Adobe vydala opravnú aktualizáciu. Očakáva sa teda jej reálne zneužívanie. Preto odporúčame zraniteľnosť bezodkladne odstrániť.

Zraniteľnosť sa nachádza v komponente Action Script Virtual Machine (AVM), ktorý obsahuje chybu kategórie "type confusion". Tá nastáva, keď kód použije objekt, ktorý mu bol zadaný, bez overenia jeho typu. V Adobe Flash Player sa prejavuje, keď interpreter komponentu nevynuluje ukazovateľ "with-scope" pri zachytení výnimky. Útočník môže daný stav zneužiť na vzdialené vykonávanie kódu.

Pravdepodobný vektor útoku zneužívajúceho túto zraniteľnosť je podvrhnutý odkaz na webstránku so škodlivým SWF súborom, na ktorý obeť klikne. Útočník potom môže vzdialene vykonávať príkazy na zariadení obete, napríklad sťahovať a inštalovať ľubovoľný kód.

Zraniteľné systémy
Adobe Flash Player verzie 31.0.0.148 a staršie

Závažnosť zraniteľnosti
Stredná

Možné škody
Vzdialené vykonávanie kódu

Odporúčania

  • Aktualizácia Adobe Flash Player aspoň na verziu 31.0.0.153
  • Vypnúť Flash Player, nakoľko ho využíva už menej ako 5% webstránok a v roku 2020 je plánovaná jeho kompletná odstávka.

Odkazy
https://www.bleepingcomputer.com/news/security/adobe-flash-player-update-released-for-remote-code-execution-vulnerability/
https://nakedsecurity.sophos.com/2018/11/22/update-now-adobe-flash-has-another-critical-security-vulnerability/
https://threatpost.com/critical-adobe-flash-bug-impacts-windows-macos-linux-and-chrome-os/139264/
https://helpx.adobe.com/security/products/flash-player/apsb18-44.html
https://www.ragestorm.net/blogs/?p=421



<< zoznam oznámení