14. 7. 2015

Na základě uniklých informací z databází kompromitované italské firmy Hacking Team objevili bezpečnostní analytici ze společností Trend Micro a Fire Eye dvě kritické zranitelnosti Adobe Flash Player. Po zranitelnosti CVE-2015-5119, která byla opravena minulý týden, se tak jedná o další podobné bezpečnostní problémy oblíbeného přehrávače. Zneužitelná chyba se nachází v objektu opaqueBackground ve třídě DisplayObject.

Postižené systémy

Všechny aktuální verze Flash Playeru:

Adobe Flash Player 18.0.0.203 a dřívější verze (Windows, Mac)
Adobe Flash Player 18.0.0.204 a dřívější verze (Linux)
Adobe Flash Player Extended Support Release 13.0.0.302 a dřívější verze 13.x (Windows, Mac)
Adobe Flash Player Extended Support Release 11.2.202.481 a dřívější verze 11.x. (Linux)

Dopad zranitelnosti

Úspěšné zneužití může potenciálně umožnit útočníkovi vzdáleně spustit libovolný kód, převzít kontrolu nad postiženým systémem nebo způsobit selhání jeho funkčnosti.

Řešení

Doporučuje se dočasně deaktivovat v prohlížečích spouštění Flash Player dokud nebude firmou Adobe publikována příslušná oprava.

CVE

CVE-2015-5122
CVE-2015-5123

Odkazy

http://www.kyberbezpecnost.cz/?p=4011
http://www.zdnet.com/article/two-further-critical-flash-zero-days-appear-from-hacking-team-breach/
https://www.fireeye.com/blog/threat-research/2015/07/cve-2015-5122_-_seco.html
http://www.zdnet.com/article/adobe-tackles-hacking-team-zero-day-vulnerability/
https://helpx.adobe.com/security/products/flash-player/apsa15-04.html