Adobe flash hataları yayar, saldırganlar firefox kullanıcılarını hedef alır

Adobe, her yerde bulunan Flash Player'da üç yeni güvenlik açığı oluşturdu; bunlardan ikisi zaten doğada sömürüldü. Şirket, saldırganların özellikle Mozilla Firefox kullanıcılarını hedef aldığını belirtti.

Adobe'nin Salı günü yayınlanan güvenlik danışma belgesinde, sıfır günlük iki güvenlik açığı olan ve CVE 2013-0643 ve CVE 2013-0648’de, kullanıcıların kötü niyetli Flash dosyaları barındıran bir Web sitesine yapılan bir bağlantıyı tıklamak için kandırılmalarına yönelik saldırılarda yararlanıldığını belirtti. Şirket, sıfır günlük güvenlik açıklarını bulan hiçbir kurumu veya araştırmacıyı kredilendirmedi, ancak üçüncü güvenlik açığını bildirdiği için IBM X-force'e kredi verdi.

RSA Konferansı'ndaki Adobe güvenlik mühendisleri de ek bilgi vermeyi reddetti.

Adobe danışmanlığında “Cve 2013-0643 ve CVE 2013-0648 için istismar, Firefox tarayıcısını hedeflemek için tasarlandı” dedi.

Adobe, saldırganların Flash Player'ın çökmesine ve bilgisayarın uzaktan kontrolünü kazanmasına neden olacak güvenlik açıklarını tetikleyebilir. Sıfırıncı gün hataları, Flash Player Firefox sanal alanıyla ilgili bir izin sorunuyla ve zararlı kodu çalıştırmak için kullanılabilecek ExternalInterface ActionScript özelliğindeki bir kusur ile ilgilidir. Adobe, şu anda henüz kullanılmayan üçüncü hata, bir Flash Player broker hizmetinde arabellek taşması güvenlik açığı olduğunu ve kötü amaçlı kod yürütmek için kullanılabileceğini söyledi.

Güncelleştirme, Windows, Mac OS X ve Linux'taki tüm Flash sürümlerini etkiler. Kullanıcılar en son sürümü Adobe web sitesinden indirebilir veya arka plan güncellemelerini açıp yazılımın sürümü otomatik olarak kapmasına izin verebilir. Google ve Microsoft, Chrome ve Internet Explorer 10’daki Flash’ı (Windows 8 için) ayrı olarak günceller.

Bu Flash güncellemesi, bu ayki Flash Player için ikinci bant dışı düzeltme eki, Şubat ayındaki üçüncü Adobe düzeltme eki ve 2013'te bugüne kadar yayımlanan dördüncü düzeltme eki.

Adobe'nin Flash ve Reader için otomatik güncellemeler başlatmasından bu yana neredeyse bir yıl geçti ve güncelleme oranı muazzamdı, Adobe’nin güvenlik ve gizlilik üst düzey direktörü Brad Arkin RSA Konferansında SecurityWatch’a verdiği demeçte. Arkin, kullanıcıların en son güncellemeleri indirmeleri istendiği önceki modelin, kullanıcıların Flash Player'ı gerçekten düzeltmelerine yetmeyeceğini söyledi. Arka plan güncellemelerine geçişte başarı oranı önemli olmuştur.

RSA kapsamımızdaki tüm yayınları görmek için Raporları Göster sayfamıza göz atın.