17. 06. 2016 23:20

Bezpečnostní pracovníci společnosti Kaspersky Lab nedávno objevili kritickou zranitelnost v aplikaci Adobe Flash Player pro všechny typy operačních systémů (Win, Mac, Linux a Chrome). V uplynulých měsících bylo zpozorováno zneužívání této zranitelnosti v rámci cílených útoků využívající Watering hole attack, která umožňuje vzdálenému útočníkovi spuštění libovolného kódu. Průběh uvedeného útoku je následující - útočník přesvědčí uživatele k otevření speciálně vytvořeného HTML dokumentu (webových stránek nebo HTML e-mailové zprávy a přílohy), PDF souboru, dokumentu Microsoft Office, nebo jakéhokoliv jiného dokumentu, který podporuje vložený obsah SWF. Po otevření takovéhoto souboru je útočník schopen spouštět libovolný kód.

POSTIŽENÉ SYSTÉMY

  • Adobe Flash Player verze 21.0.0.242 a starší pro OS Windows, Macintosh, Linux a Chrome.

DOPAD ZRANITELNOSTI

Umožní vzdálenému útočníkovi spustit libovolný kód.

ŘEŠENÍ

Upgradovat Adobe Flash Player na verzi 22.0.0.192 (Win a Mac) a 11.2.202.626 (Linux), které byly vydány 16. 6. 2016. Aktualizace není dostupná pro operační systém Windows 8. Společnost Adobe proto doporučuje uživatelům aktualizovat tento operační systém na novější verzi 8.1 nebo 10.

CVE

CVE-2016-4171

ODKAZY

https://www.adobe.com/support/flashplayer/debug_downloads.html
https://securelist.com/blog/research/75100/operation-daybreak/
https://securelist.com/blog/research/75082/cve-2016-4171-adobe-flash-zero-day-used-in-targeted-attacks/
https://www.beyondtrust.com/blog/critical-zero-day-vulnerability-cve-2016-4171-basic-mitigation/
http://www.kb.cert.org/vuls/id/748992