Domov      Nastavenia 
RSS English Slovensky

Zahraničné zdroje
Nahlásené incidenty
1.1.2019 - 31.12.2019
 

Graf

Kritickú zraniteľnosť v Adobe Flash Player je možné využiť na vzdialené vykonávanie kódu

21.10.2020
Zraniteľnosť je spôsobená dereferenciou nulového ukazovateľa a spôsobuje zlyhanie programu Adobe Flash Player. Je možné zneužiť ju aj na vykonanie kódu, ktorý je možné poslať aj vzdialene v HTTP odpovedi, ktorú Flash Player spracuje.

 

Dôsledky

  • Zlyhanie aplikácie Adobe Flash Player
  • Strata údajov s ktorými pracoval Adobe Flash Player počas zlyhania
  • Vzdialené vykonanie kódu v kontexte používateľa

Opis činnosti
CVE-2020-9746

Kritická zraniteľnosť aplikácie Adobe Flash Player sa dotýka verzií pre operačné systémy Windows, macOS, Linux, aj ChromeOS. Tiež sa dotýka doplnkov pre internetové prehliadače Google Chrome, Internet Explorer a Microsoft Edge. Zraniteľnosť je spôsobená dereferenciou nulového ukazovateľa. Program sa snaží čítať alebo zapisovať dáta do pamäte, na ktorú ukazuje ukazovateľ ktorý však má hodnotu NULL, čo spôsobí zlyhanie programu. Toto zlyhanie je možné zneužiť na vykonávanie kódu v kontexte prihláseného používateľa.

Zraniteľnosť je možné zneužiť vzdialene. Útočník môže do HTTP odpovede ktorú Flash Player spracuje vložiť škodlivý obsah. HTTP odpoveď sa zvyčajne prenáša cez SSL/TLS, čo sťažuje MitM (Man in the Middle) útoky. Útočník ale môže využiť sociálne inžinierstvo, aby nalákal obeť na svoju webovú stránku, z ktorej bude posielať škodlivé odpovede. Aj keď spoločnosť Adobe uvádza nutnosť pre útočníka poslať škodlivý obsah v HTTP odpovedi, Nick Colyer z bezpečnostnej spoločnosti Automox varuje, že zraniteľnosti Flash Player je možné zneužiť aj cez funkciu ActiveX control v dokumentoch Microsoft Office, ktorá automaticky spúšťa makrá. Okrem toho možno tieto zraniteľnosti zneužiť akoukoľvek aplikáciou, ktorá využíva vykresľovací nástroj Internet Explorer.

Zraniteľné systémy

  • Adobe Flash Player Desktop Runtime 32.0.0.433 a skoršie pre Windows, macOS a Linux
  • Adobe Flash Player for Google Chrome 32.0.0.433 a skoršie pre Windows, macOS, Linux a Chrome OS
  • Adobe Flash Player for Microsoft Edge and Internet Explorer 32.0.0.387 a skoršie pre Windows 10 a 8.1

Závažnosť zraniteľnosti
Vysoká

Možné škody
Narušenie dostupnosti služby (DoS)
Vzdialené vykonávanie kódu

Odporúčania

Bezodkladná aktualizácia na verziu 32.0.0.445 obsahujúcu záplatu. V prípade používania Adobe Flash Player vo viacerých internetových prehliadačoch je potrebné aktualizovať doplnok pre každý prehliadač zvlášť.
Je potrebné brať do úvahy, že 31.12.2020 prestane Adobe vydávať záplaty pre Flash Player a po tomto dátume ho už nebude bezpečné používať.

Odkazy
https://helpx.adobe.com/security/products/flash-player/apsb20-58.html
https://threatpost.com/flash-player-flaw-adobe-rce/160034/
https://securityaffairs.co/wordpress/109448/hacking/adobe-flash-player-critical-flaw.html
https://www.bleepingcomputer.com/news/security/adobe-fixes-critical-security-vulnerability-in-flash-player/



<< zoznam oznámení