Újabb Flash 0-dayt javított az Adobe
23 súlyos hibát foltozott be a Flash futtatómotorján az Adobe. Az egyik még a javítás előtt használatba került, de a sérülékenységet felfedező Kaspersky szerint egyelőre csak kevés esetben.
Méretes javítócsomagot adott ki az Adobe a Flash lejátszóhoz. A frissítés 23, távoli kódfuttatásra kihasználható sérülékenységet javít, egyiket az azt felfedező Kaspersky Lab támadók szűk körben ugyan, de aktívan használják, ezért a javítások telepítése minél előbb ajánlott. A hibákat jelentő szakemberek széles körből kerültek ki, a szokásos HPE-s, project zerós és kasperskys jelentések mellett például a kínai nagy webes szolgáltatók (Alibaba, Tencent) biztonsági csapatai is letett néhányat az asztalra.
A legfontosabb hiba az eddigi információk szerint a CVE-2016-1010 jelzésű, ami egy integertúlcsordulásos sérülékenység, és a Kaspersky Lab szerint nulladik nap (zero day) súlyosságú, azaz már a javítás elkészülte és kiadása előtt felhasználásra került támadásokban. A biztonsági cég azt mondta, kutatói eddig csak "nagyon szűk körben" észlelték a használatát, és egyelőre nem akarnak több részletet megosztani róla, mert a vizsgálatot még nem zárták le. Az Adobe szerint a többi 22 hiba nem került idő előtt rossz kezekbe (vagy legalábbis kihasználásukat biztonsági szakemberek eddig nem észlelték).
Platón ragadt informatikusok klubja Egyetlen más szakma sincs, ahol olyan gyorsan el lehet érni a karrier-platóra, mint az IT. A midlife, a mid-level mellett létezik mid-career krízis is.
A frissítéseket a szokásos módon lehet telepíteni. A Chrome-ot a Google, az Internet Explorer 11-et és az Edge-et a Microsoft frissíti a javított Flash modullal, egyéb esetekben pedig az Adobe oldaláról lehet letölteni a legújabb verziót, ha a lejátszó automatikus frissítése nincs engedélyezve.
Kell még egyáltalán?
Az Adobe a biztonsági kritikák állandó össztüze és az IAB nyomása közepette tavaly decemberben jelentette be, hogy fokozatosan HTML5-re cseréli a Flash-t, a márkanevet pedig szintén kivezeti (így született az Animate CC). Ugyan az iparág gyors ütemben áll át a Flash-ről (erre elég nagy motivációt ad a Google nyáron életbe léptetett "Flash-gyilkos" döntése"), bőven akadnak még oldalak, ahol a technológia fontos szerepet tölt be.
Ilyen például a Facebook is, ahol a videók már HTML5-alapúak, de a játékoknál még nem érett meg a váltás. Mivel a sokáig a web egyik pillérét képező Flash nem fog csak úgy, egyik napról a másikra eltűnni, a biztonsági sérülékenységekben leginkább érintett Facebook, Google és Microsoft vállalta, hogy a probléma fennállásáig folyamatosan segíteni fog az Adobe-nak a Flash utóéletének gondozásában.
Mi mindenesetre azt tanácsoljuk, hogy aki úgy érzi, nem létszükséglet számára a lejátszó, deaktiválja azt vagy távolítsa el a gépéről – de legalábbis állítsa a lejátszás elindítását manuálisra, és jól nézze meg, mely oldalakon kapcsolja be.