Szerző: Voith Hunor

2015. július 14. 14:57:00

Flash Player: lyukas, mint az ementáli

A múlt héten nyilvánosságra hozott nulladik napi Flash Player-sérülékenység után – melyet az Adobe gyorsan befoltozott – újabb két zero dayre derült fény a lejátszóban, és biztonsági szakértők szerint a sornak még nincs vége. Azonnali, teljes körű letiltás javasolt.

HIRDETÉS

Egy hét alatt három nulladik napi sérülékenységre derült fény a Hacking Teamtől kikerült 400 gigabájtnyi adat elemzése során – sajnos a kihasználásukat bemutató példakóddal együtt, melynek alapján támadók frissíteni tudják rosszindulatú programjaikat, hogy még a hibák befoltozása előtt előnyükre fordíthassák azokat.

Az elsőként nyilvánosságra került hibát az Adobe viszonylag gyorsan javította, ennek ellenére a sebezhetőség még a foltozás előtt aktív támadások célpontjává vált. Ez jól illusztrálja, hogy a modern malware fejlesztői milyen gyorsan mozognak, szó szerint órák alatt képesek egy-egy biztonsági résre ugrani, ebben az esetben ransomware (adatokat titkosító zsarolóprogramok) készítői vették tűz alá a Flash-t.

Az első foltozatlan hibát azonban két újabb követte, ugyanabból a Hacking Team adathalmazból. A sérülékenységeket a Trend Micro publikálta (azonosítóik: CVE-2015-5122, CVE-2015-5123), ezeket az Adobe mára javította a Flash lejátszóban. Ezért ha mindenképp használni szeretnénk a Flash-t, akkor mindenképp érdemes telepíteni a legújabb, 18.0.0.209-es verziót.

Frissítés? Csak lassan a testtel!

Ezzel azonban van egy kis gond: az Adobe hiába adta ki a lejátszó legfrissebb változatát, az operációs rendszertől és böngészőtől függően még nem mindenki számára elérhető. A Chrome  Flash-beépülőjét ugyanis kizárólagosan a Google frissíti (Windowson és OS X-en egyaránt), ahogy a Windows 8.x-es és Windows 10-es Internet Explorerekét is a Microsoft, így ezekben a böngészőkben még mindig csak a 203-as végződésű plugin dolgozik – vagyis a második és harmadik hibát ezek a böngészők továbbra is tartalmazzák, ez ellen pedig a felhasználónak védekezése sincs.

A cikk írása alatt többször is próbáltunk frissítéseket keresni a Chrome-hoz és az IE-hez is a Windows Update-en keresztül, sikertelenül. A kontroll itt tehát visszafelé sül el, hiába létezik és egyébként tölthető le már a hibajavítás, a felhasználónak nincs jogosultsága végrehajtani a frissítést. A 8.x-nél korábbi operációs rendszerek alatt lehet manuálisan frissíteni az IE alatt dolgozó Flash Playert, és a Firefox esetében sincs ilyen gond, a letöltés és telepítés után már a javított, 209-es végződésű lejátszó dolgozik a böngészőben.

Aki azonban a .203-as verzión ragadt, nem érdemes kockáztatnia, még úgy sem, hogy egyelőre nem tudni az utóbb nyilvánosságra hozott két sérülékenységgel frissített rosszindulatú programokról. Chrome alatt (operációs rendszertől függetlenül) könnyű kikapcsolni a beépülőt, az erre szolgáló beállításokhoz a böngészősávba beírt chrome:plugins paranccsal lehet eljutni, ahol egyébként a verziószámot is le lehet ellenőrizni. Windowst használók a programok hozzáadása és eltávolítása menüpont alatt szabadulhatnak meg tőle, OS X alatt pedig a 10.5-nél újabbakhoz ezt, az annál korábbiakhoz pedig ezt az eltávolítót érdemes használni.

Ehhez már Steve Jobs se kell

A gyakori kritikus Flash Player hibákkal egyre többeknek telik meg a hócipője, a Hacking Team által ki tudja, mióta használt sérülékenységek kapcsán pedig gombamód megszaporodtak az indulatos véleménycikkek és a hogyan kapcsold ki / távolítsd el tartalmú útmutatók. Neves biztonsági szakértők kezdtek bele újult erővel Flash-ellenes kampányokba, a Facebook biztonsági igazgatója nyilvánosan, egy Twitter-üzenetben ment neki az Adobe-nak, a Mozilla pedig egy frissítéssel alapállapotban blokkolta a Firefoxban a 209-esnél korábbi, azaz sérülékeny Flash-beépülőket, és egyúttal a lejátszó „megölésére” indított Occupy Flash mozgalmat is igyekezett népszerűsíteni a lépést bejelentő Twitter-üzenetben.

Jó kérdés, hogy ezek az erőfeszítések elegendőek lesznek-e a Flash eltemetésére, de egyre inkább úgy fest, hogy a Steve Jobs által az iPhone-nal és iPaddel megkezdett háborút az Adobe végül a futtatóplatform katasztrofális biztonsági architektúrájának, a beépített védelem teljes hiányának és a gyenge minőségű kódnak köszönhetően fogja elveszíteni.

Frissítés: a Google kiadta a Chrome új verzióját a javított, 209-es végződésű Flash pluginnel.

a címlapról