Adobe вновь выпустила обновление для Flash Player, третье за последние полтора месяца. Оно закрывает 2 критические уязвимости и содержит новый механизм установки обновлений, способный работать в фоновом режиме.

Уязвимости CVE-2012-0772 и CVE-2012-0773 могут привести к отказу и при успешной эксплуатации позволяют злоумышленнику через порчу памяти установить контроль над атакуемой системой. Эти бреши актуальны для всех платформ. Обеим присвоен приоритет 2, т.е. заплатки следует установить в течение месяца. Пользователям Flash Player 11.1.102.63 и более ранних версий, работающих под Windows, Macintosh и Linux, рекомендуется скачать с сайта Adobe новейшую версию 11.2.202.228, для Solaris ― 11.2.202.223. Пользователи Flash Player 11.1.111.7 и ниже для Android 2.x/3.x могут загрузить версию 11.1.111.8 через Android Marketplace. Flash Player 11.1.115.7 или ниже для Android 4.x обновления не требует.

Пользователи Windows и Flash Player 10.3.183.16 и выше для Macintosh могут также установить патч через штатный механизм обновления. Google Chrome, как всегда, обновит Flash в автоматическом режиме. Для тех, кто не имеет возможности установить 11.2.202.228, Adobe подготовила пропатченную версию Flash Player 10.3 ― 10.3.183.18, которую можно скачать из соответствующего раздела на сайте компании. Кстати, с выпуском этой версии компания прекращает поддержку IE 6 ― из солидарности с Microsoft, однако не будет блокировать установку последующих выпусков 10.3 в системы с этим браузером.

Главный хит Flash Player 11.2 ― новая система обновления, поддерживающая опцию автоматической установки всех последующих обновлений. По словам разработчиков, новый апдейтер аналогичен тому, что с успехом используется в Google Chrome. Отныне в системах с несколькими браузерами обновляться смогут все и сразу. Исключение составит лишь Chrome, который будет по-прежнему загружать обновления через штатный механизм. При выборе автоматического режима первоначальная проверка на наличие обновлений будет производиться каждый час, пока с серверов Adobe не придет отрицательный ответ. После этого срок подачи запросов увеличится до 24 часов.

Автоматический режим установки обновлений пока доступен лишь пользователям Windows, версия для Mac находится в стадии разработки. Режим установки обновлений можно сменить через менеджер, зайдя в Панель управления и выбрав «Управление параметрами Flash Player» (вкладка «Дополнительно»). Разработчики отмечают, что любые обновления, меняющие дефолтные настройки Flash (такие, например, как нынешнее), затребуют подтверждение на установку даже в том случае, если пользователь выбрал фоновой режим.

Не прошло и месяца, как Adobe вновь выпустила обновления для Flash Player, закрывающие критические дыры.

По свидетельству разработчиков, обе новые уязвимости могут вызвать сбой и позволяют злоумышленнику установить контроль над системой. Уязвимость CVE-2012-0768 в случае успешной эксплуатации дает злоумышленнику возможность выполнить произвольный код через повреждение памяти в методах обработки Matrix3D. Уязвимость CVE-2012-0769 через целочисленное переполнение буфера приводит к раскрытию внутренней информации приложения. Обе бреши найдены сотрудниками Google и пока не вызвали нежелательной активности в Сети.

Новые уязвимости актуальны для всех платформ. Пользователям Adobe Flash Player 11.1.102.62 и более ранних версий для Windows, Macintosh, Linux и Solaris рекомендуется установить новейшую версию 11.1.102.63, загрузив обновление с сайта компании. Adobe подготовила также пропатченную версию Flash Player 10.x ― 10.3.183.16, которую можно скачать из раздела архивов. Пользователям Flash Player 11.1.115.6 и ниже для Android 4.x , а также 11.1.111.6 и ниже для Android 3.x и 2.x следует обновить продукт до версий 11.1.115.7 и 11.1.111.7 соответственно, зайдя на Android Marketplace. Как заметил наш старый знакомый Брайан Кребс, тем, кто пользуется несколькими браузерами на одном устройстве, возможно, придется устанавливать апдейт, поочередно используя каждый из этих браузеров. Chrome обычно обновляет Flash в автоматическом режиме вскоре после официальной публикации.

Следует отметить, что Adobe недавно ввела новую систему оценки уязвимостей, которая призвана облегчить жизнь системным администраторам. Отныне, помимо уровня опасности, разработчики будут указывать также срочность установки патча. Если при выпуске обновления указан приоритет № 1, это говорит о наличии itw-эксплойтов для уязвимости в конкретном продукте, работающем на конкретной платформе. Патч надлежит установить как можно быстрее, например, в течение 3-х суток. Приоритет № 2 присваивается в том случае, когда эксплойтов еще нет и в ближайшее время не предвидится, но сам продукт постоянно привлекает внимание злоумышленников. Такие патчи следует устанавливать в течение месяца. Приоритет № 3 самый низкий и означает, что продукт не популярен у киберкриминала; подобные патчи можно устанавливать по своему усмотрению. Согласно новой классификации, свежему обновлению для Flash Player назначен приоритет № 2.

Компания Adobe объявила о выпуске бета-версии Flash Player, снабженной «песочницей», для Mozilla Firefox.

Flash Player Protected Mode использует тот же механизм, который был реализован больше года назад в Adobe Reader X. Загружаемый объект (в данном случае swf-файл) обрабатывается в изолированной среде; все запросы на действия, требующие повышения привилегий, подаются через посредника («брокера»), реакция которого определена жестким набором правил и корректируется белыми списками.

Такой подход не избавляет от попыток эксплуатации брешей в популярном приложении, но помогает существенно ограничить неприятные последствия таких кибератак, усложняя задачу вирусописателям. С момента взятия «песочницы» на вооружение Adobe не зафиксировала ни одной успешной itw-атаки на Reader X. Работа Flash Player в безопасном режиме тоже доказала свою эффективность ― в этом уже имели возможность убедиться пользователи Google Chrome. Разработчики надеются, что интеграция Flash Player Protected Mode в Firefox окажется не менее полезной, и обещают перенести опыт на другие браузеры.

Безопасный режим Flash Player доступен для версий Firefox 4.0 и выше, работающих под Windows Vista или Windows 7. Пробная сборка пока предлагается для скачивания лишь сообществу разработчиков, актуальная информация уже опубликована на сайте компании. Результаты бета-тестирования будут учтены при подготовке финальной версии, выпуск которой запланирован на текущий год.

Мы обнаружили одну интересную технику сокрытия вредоносного кода от исследователей.

Следы вредоносного кода сначала были обнаружены в виде iframe-инъекции на веб-странице. Вредоносная страница, загружаемая в iframe содержала крохотный shockwave файл, размером всего 158 байт!

Этот файл использовал переменную $version из Action Script, чтобы получить текущую версию используемого ПО.

В переменной $version хранится текстовое значение, такое как «WIN 9,0,12,0». Это значение соответствует короткому названию операционной системы, а также точной версии плагина Adobe Flash Player. Затем 4561.SWF пытался загрузить и выполнить другой файл SWF, используя URL в зависимости от данных из переменной $version. В предыдущем случае он пытался загрузить файл с именем «WIN 9,0,12,0i.swf». Сервер ответил распространённой ошибкой ERROR 404: «Файл не найден». Но всё это было сделано специально, чтобы при исследовании файла 4561.swf на автоматизированной системе типа sandbox второй SWF файл, содержащий эксплойт, не был доступен. При поверхностном анализе исследователь мог принять решение, что вредоносный файл скорее всего был удален с сервера.

Я проверил все возможные версии плагина и обнаружил 6 различных SWF файлов с эксплойтами.

Вот полный список:

• WIN 9,0,115,0i.swf
• WIN 9,0,16,0i.swf
• WIN 9,0,28,0i.swf
• WIN 9,0,45,0i.swf
• WIN 9,0,47,0i.swf
• WIN 9,0,64,0i.swf

Файлы уже детектировались нашим продуктом как Exploit.SWF.Downloader.c, но в тоже время являлись новой модификацией эксплойта, поскольку не были найдены в нашей файловой коллекции. Первый экземпляр Exploit.SWF.Downloader был продетектирован 27.05.2008.

Уязвимость в Adobe Flash Player основана на ошибке при обработке некорректного значения тэга DefineSceneAndFrameLabelData с отрицательным параметром SceneCount. Встроенный в SWF-файл шеллкод отображается в декомпиляторах Shockwave как картинка с некорректными размерами.

Ещё раз хочется отметить, что этот подход позволяет атакующим аккуратно подобрать эксплойт для соответствующей версии ПО пользователя, и в тоже время скрыть вредоносный код от глаз любопытного исследователя.

Брешь в Macromedia Flash Player может поставить под угрозу безопасность компьютеров нескольких миллионов интернет-пользователей. С таким предупреждением выступили сами представители Macromedia Inc., сообщает eWeek.

Уязвимость, о которой разработчики плееера узнали четыре месяца назад, имеет ранг «критической» и позволяет запускать на незащищенной машине произвольные коды. Опасности подвержены все версии плеера вплоть до 7.0.19.0. «Пользователи, уже установившие себе Flash Player 8, могут не беспокоиться. Macromedia рекомендует всем пользователям прежних версий обновить свои плееры», — говорится в заявлении компании.

Эксперты из компании eEye Digital Security сообщают, что брешь позволяет хакеру запускать произвольный код от имени залогиненного пользователя. Для запуска своей программы злоумышленнику понадобится специальный вредоносный файл в формате swf, используемом для воспроизведения флэш-анимации.