Очень опасная критическая уязвимость в Adobe Flash Player


На днях была найдена очень опасная критическая дыра в Adobe Flash Player - в плагинах ко всем браузерам.
Эта дыра позволяет хакеру полностью захватить контроль над вашим компьютером, выполнив любой код.


Дыра критичная в том числе и для вас лично, так как все имеют этот плагин, а для заражения достаточно зайти на сайт, где будет располагаться специальный swf файл - вы зашли и уже заражены, даже не надо ничего нажимать и разрешать.


Так что срочно заходите на сайт Adobe и устанавливайте апдейт, который закрывает эту дыру (там просто выберите свою операционную систему в списке, потом браузер и нажмите “Agree and install now”. После того, как файл скачается - запустите его и все установится).


А для проверки, что у вас плагины обновились зайдите в c:\Windows\System32\Macromed\Flash\:

и проверьте для IE свойства файла Flash10b.ocx. Должна быть версия не меньше 10.0.22.87:

А для Firefox - файл NPSWF32.dll (вроде бы Opera тоже этот же файл использует). Версия должна быть также не меньше 10.0.22.87:




Вообще, последнее время хакеры сконцентрировали свое внимание на продуктах Adobe и постоянно находят в них новые дыры:
В прошлом месяце компания Adobe устранила в плеере Flash Player семь уязвимостей. Причем через одну из этих дыр специалист Шейн Макалей из компании Security Objectives в ходе хакерского соревнования на конференции CanSecWest 2008 смог захватить контроль над ноутбуком под управлением операционной системы Windows Vista Ultimate с первым сервис-паком. В качестве приза Макалей получил в подарок ноутбук и денежное вознаграждение в размере 5000 долларов.


Очевидно, что чем больше людей используют конкретный продукт, тем больше усилий киберпреступники будут тратить на поиск дыр в этом продукте. Продукты Adobe сейчас есть на огромном числе компьютеров, так что их сейчас изучают очень активно и ищут дыры. Будет другой продукт везде - найдут и в нем дыры.
Скажу более, рискуя нарваться на холивар: если linux или mac наконец отвоюют хотя бы 20-30% рынка ОС у Windows - куча вирусов появится и для них. А пока что они просто не интересны для серьезных вирусописателей, и киберпреступники не тратят время (а значит и деньги) на поиск дыр в них.
Киберпреступность давно стала сверхприбыльным ремеслом для некоторых людей и они оценивают вложения своего времени и сил именно с точки зрения возможной прибыльности. А лучшую прибыль сейчас дают дыры в Windows и продуктах типа браузерного Flash Player - поэтому под них и пишутся основные вирусы.


Кому совсем интересно, могут также прочитать про новую дыру в Adobe Acrobat. Она до сих пор не исправлена. Заразиться можно, просто открыв pdf файл. Временно устранить ошибку можно через меню, отключив Java script: Edit -> Preferences -> JavaScript и отключите галочку Enable Acrobat JavaScript (хотя ЛК предупреждает, что это не решает проблему полностью и не защищает от модифицированного эксплоита).


Похожие статьи:
Ждем новой эпидемии?
Сделай свой интернет безопасным
Новый червь Downadup
Страшилки: зачем нужен антивирус?
Как можно украсть все ваши пароли


 Понравилась статья? Подпишись на RSS!

51 комментариев к Очень опасная критическая уязвимость в Adobe Flash Player

  • Anonymous

    А опера не подвержена этой уязвимости или из за незначительной аудитории она не рассматривалась?

    Будем надеяться что вскоре мелкософт предложит СОВЕРШЕННО защищённый браузер, коем они его восхваляют.

    Да, ещё, могу предположить что переход плохих парней на новую платформу не даст таких результатов как с вынью, из за того что на nix платформах обитают более грамотные с технической стороны люди.

    зы и к тому же 20% это всё таки не достижимая цифирь.

    • Про оперу не знаю - самому интересно. Наверное, там другой код плагина или сам браузер защищает.
      А 20% - не так много. На рынке браузеров вон их уже отвоевали. И на рынке ОС могут. Если W7 будет, как Vista - конец эпохи ОС от MS будет близок.

  • Jessu

    >>>Скажу более, рискуя нарваться на холивар: если linux или mac наконец отвоюют хотя бы 20-30% рынка ОС у Windows - куча вирусов появится и для них.
    Вы далеки от истины.

  • christ

    Будьте добры, приведите ссылку на ОТЧЕТ ОБ УЯЗВИМОСТИ, а иначе как предумышленным созданием паники не назовешь.

  • Di

    >>Скажу более, рискуя нарваться на холивар: если linux или mac наконец отвоюют хотя бы 20-30% рынка ОС у Windows - куча вирусов >>появится и для них.

    Может вирусов и станет больше, не спорю, вместе с инструкциями по установке. В *nix системах, если вы сами не дадите root права вирусу, то ничего не случится, так что все зависит от юзера.

    К тому же если имеете в виду то, что вирусы не резон писать, сильно заблуждаетесь, посмотрите проценты *nix систем на серверах.. Их взлом куда более выгоден для хакера, чем рабочей станции Васи Пупкина….

  • >>Скажу более, рискуя нарваться на холивар: если linux или mac наконец отвоюют хотя бы 20-30% рынка ОС у Windows - куча вирусов >>появится и для них.

    Давайте не будем рассуждать на тему сущностей, от понимания которых вы далеки, хорошо?
    Дело в том, что доля *nix в серверном сегменте веба превышает 60%.

    • >> Давайте не будем рассуждать на тему сущностей, от понимания которых вы далеки, хорошо?
      >> Дело в том, что доля *nix в серверном сегменте веба превышает 60%.

      А вы уверены, что ВЫ разбираетесь в этих сущностях? Читайте еще раз пост - взлом и вирусы сейчас - бизнес. А больше всего денег можно заработать там, где сидят люди с деньгами. Какие деньги можно заработать на серверах?
      Только если взломать и попросить деньги за возврат контроля, но это все такие копейки по сравнению с банковским трояном на десмятке тысяч компьютеров, что даже обсуждать не хочется.
      Сервера взламывать - это неприбыльно, поэтому никому и не надо. Есть гораздо более простые способы заработка.

      • /Резать невыгодные части из комментов нехорошо, ага)/
        Я уверен в том, о чём говорю. Взлом винды на десктопах выгоден лишь массовостью - когда можно подломать сразу кучу тачек, обладающих примерно одинаковыми параметрами. Всё.
        Не очень понимаю, что вы имеете ввиду под “банковским трояном”. Не поясните?)

        Как бы там ни было, но факт остётся фактом - ни одна более или менее значимая организация в здравом уме никогда не установит на критически важные машины win.

        • Я ничего не резал. И ваш коммент скопировал полностью в свой ответ.

          Насчет троянов. Как вы думаете, какой основной смысл заражения компа трояном? Просто использовать его мощности для чего-то? Ошибаетесь.
          Основная идея - заставить пользователя заплатить. Пугать его, зашифровать его файлы и т.п. и потом спросить денег, чтобы вернуть все обратно. Удивительно, но почти все ведутся.
          Еще воруют инфу о карточках с помощью кейлогеров и других штук.
          Еще продают рекламу и клики - показывают периодически юзеру что-то.
          Следующая ступень - банковский троян. Сейчас на западе очень многие пользуются банковскими платежами через инет (я, например, тоже). Банковский троян внедряется в систему и ждет, пока ты войдешь в браузер и в нем в онлайн банкинг. А там они тебе подменяют страничку и ты делаешь банкинг у них, а они параллельно переводят себе на счет с твоего все деньги. А ты даже ничего не замечаешь.

          В общем, идея, думаю, понятна.

          • Какие-то детские истины про “пугание юзера” и показ баннерочечков…
            То есть, вы хотите сказать что описанное вами “щипачество” выгоднее нежели чем возможность стянуть с сервера дамп с номерами кредиток, например? с _тысячами_ номеров кредиток?

            • >>То есть, вы хотите сказать что описанное вами “щипачество” выгоднее нежели чем возможность стянуть с сервера дамп с номерами кредиток,
              >>например? с _тысячами_ номеров кредиток?

              много ли серверов в мире есть, на которых хранится такая инфа? Десяток? Сотня?
              И каждый из них защищен максимально от взлома - это уже не юзерская машина, туда так просто не пролезешь - можно годы потратить без результата. Так что “щипать” проще.

              А насчет “детских истин” - так оно и есть на самом деле. Миллиарды долларов на этом делаются.

      • Олег, ты реально неправ. Linux - это не название какой-то одной операционной системы, это скорее название ядра, на основе которого строятся существенно различающиеся дистрибутивы с разным набором библиотек различных версий, с собственными системами инициализации, с собственными патчами к ядру и библиотекам и т.д. и т.п. Если в случае Windows программа собранная для Windows 98 работала и на Windows NT 4.0, то дистрибутивы Linux бывают бинарно несовместимы даже со своей предыдущей версией. Кроме того можно вообще запретить обычному пользователю запускать программы из своего домашнего каталога. А для параноиков в ядре есть система принудительного контроля доступа - SELinux, разработанная агентством национальной безопасности США. Так что, для надёжности вирусу придётся распространяться в виде письма с приаттаченными исходниками и просьбой собрать и запустить от рута :)

        • Дык я же не спорю с этим. Но это как раз из серии “почему на линуксе сидит только 1% пользователей”.
          Если появится “общенародный” линукс, то там будут и стабильные билды с единым набором библиотек и админ. права по умолчанию - все, что угодно, чтобы угодить пользователям и чтобы его купили.
          А сейчас - да, попробуй взломай “все линуксы”, когда они все разные, да еще и 90% пользователей не сидят под рутом и реально читают все сообщения, а не тупо кликают “да”.

          Так что, придет популярность - придут проблемы.
          Глупо было бы думать, что Linux писали более умные программисты и сделали в нем меньше дырок - просто их не так активно ищут.

          • про “общенародный линукс” тоже неправильно. т.к. такого вообще никогда не будет) скорее всего будут полулярны несколько дистрибутивов (скорее всего - ubuntu, opensuse, fedora, mandriva). и именно “покупать” их также не будут) я-ж говорю - это совершенно отличная от виндовс сущность))

          • Не думаю, что будут права администратора по умолчанию, они просто не нужны. Например, в одном из самых популярных дистров, Ubuntu, по умолчанию рутом вообще залогиниться нельзя :) А насчёт “более умных программистов” - может они и не более умные, но их гораздо больше количественно. Ни один микрософт не в состоянии нанять такое количество людей для разработки ОС. “It’s not surprising that Linux systems aren’t hacked to the degree that Windows-based machines can be exploited. The reasons for the greater inherent security of the Linux OS are simple, more eyes on the code means that less slips by and the OS is naturally going to be better secured,” said Nicholas Petreley, Evans Data’s Linux analyst.”

  • >>Скажу более, рискуя нарваться на холивар: если linux или mac наконец отвоюют хотя бы 20-30% рынка ОС у Windows - куча вирусов >>появится и для них.

    Давайте вы не будете рассуждать о сущностях, далёких от вашего понимания, хорошо? Доля *nix в серверном сегменте превышает 60%. Чтобы убедится в этом, кстати, не нужно быть аналитиком. Достаточно воспользоваться сервисом типа netcraft, например.

  • В опере давно уже отключено это всё, а вот для IE обновляюсь! Спасибо за статью.

  • …всё-таки перл про “невыгодность ломания серверов” я сохраню себе куда-нибудь:-) Вы хоть примерно представляете, ЧТО можно вытащить из процессинга какого-нибудь банка? По сравнению с этим любой ваш “банковский троян” в любых масштабах - не более чем детский пук:-))

  • В любом случае ваше утверждение о том, что типа, “вирусов под никсы мало патамушто самих никсов мало” - неверно. я, кстати, сам раньше так рассуждал, пока не познакомился с linux и freebsd вплотную.

  • dsk

    Согласен, что в линуксе уязвимостей не меньше, они просто может быть другие. Самые главные файлы к тому же хранятся в папке home/username и для того чтобы их удалить не нужны права root. Можно ведь наверное и локальные вирусы писать, которые не пытаются захватить всю систему, а к примеру, только управлять вашим профилем в фаерфоксе. Уязвимости бывают разные: к примеру доспехи защищают от лезвия, но уязвимы для огня, а есть частицы, которые пронизывают вообще всё, и от них очень трудно защититься. Просто если об уязвимости никто не знает, это не значит что её нет, но для тех кто о ней не знает человек кажется не уязвим.

  • Павел Власов

    Всё-таки распространённость распространённостью, а особенности архитектуры тоже влияют. Вопрос, только - и очень интересный - насколько.

    Под виндами все работают из-под рута - уже существенное различие.

    Понятно, что стань линукс популярным, там появится много новичков, но не стоит списывать со счетов и арзитектурные различия - лифт, например, сложная и опасная штука, однако создатели ведь побеспокоились чтобы юзер смог им легко пользоваться без оосбых опасностей для себя. Хотя апологеты макоси *уже* рапортуют о 10% доле рынка.

    Предлагаю собрать различия между вин и линь, и обнародовать, как это способствует/препятствует внедрению и работе вирусов. Например: работа из-под пользовательского аккаунта, прослушивание чужих процессов, внедрение в них…

  • ZED

    Популярно хочу объяснить автору и другим озабоченным, почему для линукса вирусов нет, а на винде все так мощно страдают.
    ***
    Самое главное, что число вирусов слабо связано с числом пользователей ОС. Во времена Windows 98 MS отхапывала рынок путем написания ОС для средних машин, что и по времени и по сути поставленных задач не обеспечивало нужной безопасности. После завоевания монопольного рынка и с появлением Windows 2K/XP безопасность усилилась, но остался 1 атавизм - бОльшая часть софта некорректно работает из-под неадминской учетки, поэтому все и сидят под рутом. Виста подлила масла в огонь со своей тупой системой ограничения прав пользователей. Как итог, сам принцип устройства Windows не способен эффективно бороться с проникновением вирусов.
    На никсах все по-другому хотя бы потому что люди работают в основном под юзером и лишь редко и по ситуации - под рутом. Чтобы под линуксом запустить вирус, его нада руками сделать исполняемым файлом и этими же руками запустить, а если руки все еще не отсохли, то и под рутом :) Это основная причина.
    ***
    Вторая существенная причина отсутствия вирусов на никсах в том, что винда однотипная, а никсы сильно различаются, начиная от разных ОС, основанных на UNIX и заканчивая целым зоопарком дистрибутивов линуксов. Сделать рабочий вирус под такой зоопарк очень сложно. Например писали про кросс-платформенный вирус на перле - выяснилось что он работает только на ОДНОЙ версии ядра линукса, которая давно не используется.
    ***
    3-я причина в том, что все исходники линукса открыты, поэтому уязвимости находят очень быстро и так же быстро латают, на винде и маке все закрыто, поэтому латают уже после ахтунга “ШЕФ, ФСЕ ПРАПАЛО!!!”
    ***
    Так что я согласен только в одном, если линуксов станет 20-30%, то появится много вирусов, но работать будет один единственный, который и сейчас хорошо чувствует себя на любых системах - ЮЗЕР.

    • dsk

      Разве вот эта дыра в Adobe Flash Player не позволяет исполнять любой код на компьютере? Если так, то можно написать файл swf который исполнит любой код, в том числе удалит файлы или загрузит другой вирус из интернета и сделает его исполняемым файлом. Если так, то видимо, вирус не нужно руками делать исполняемым файлом и запускать.

      • Di

        2dsk

        В том то и дело, что вот так просто сделать “файл swf который исполнит любой код” можно только для Windows. В Linux этому коду будет недостаточно прав, для того что бы навредить, а права эти может выдать только человек сидящий за этой ОС…

        • dsk

          То есть вы хотите сказать, что таким способом файлы в домашней папке не удалить, вирус от имени пользователя не запустить? Имел ввиду я конечно не любой код, а любой код от имени пользователя.

        • Что такое в вашем понимании “навредить”?
          Запустить тулзу, которая зашифрует все ваши jpeg, а потом спросить с вас денег за расшифровку - это достаточно “навредить”?
          Или что угодно еще на том же уровне, когда не нужно доступа к системе.

          • ZED

            У вас извините какие децкие представления о хакерах и вирусописателях. Их основной хлеб это кредитки. Почему 90-99% всех вирусов трояны и черви? Потому как даже на винде гадить на компе пользователя давно вышло из моды, гораздо эффективнее внедрить и распространить руткиты, кейлогеры, трояны и т.п. чтобы украсть информацию о банковских данных, пароли разные и т.д. Линуксоиды как правило есть повер юзеры, ибо линукс система не для всех, чтобы там что-то сделать надо покурить гугль и подумать головой. Бекапы для линуксоидов гораздо привычнее, чем для простых смертных. Поэтому вирусы под линукс писать не только сложно, но и практически бесполезно как по причине их неработоспособности, так и по причине отсутствия эффекта. Как бы не изменились проценты соотношения ОС, все финансы будут идти или через специально защищенные *nix серваки или через виндовые машины (клиентов). Так что ваша фраза “А пока что они просто не интересны для серьезных вирусописателей” в корне не верна и вы это не хотите признавать. Дыра - всего лишь способ проникнуть в систему и исполнить вредоносный код. Даже на винде, сидя под юзером, эффективность вирусов снижается в 10 раз, но и работать толком не выйдет ;) Так что пусть чудо-хакеры найдут в линуксе хоть мульярд дырок, все равно вирусов как массового явления не будет.

  • Rett Pop

    Хм. Какое-то такое паническое объявление (на исходном сайте оно такое же)…
    Думаю, что права ограниченного пользователя + RSP такой какой не обойдутся. Поэтому при _нормальной_ настройке прав и переживать особо не стоит.

    А вообще, хороший метод заставить пользователей установить новую версию - закричать о якобы найденной дырке, через которую из холодильника колбасу можно стащить.

  • Xor

    >Скажу более, рискуя нарваться на холивар: если linux или mac наконец отвоюют хотя бы 20-30% рынка ОС у Windows - куча вирусов появится и для них.<

    Просмотрел холивар, он получился несколько забавным.
    Ведь текущая модель работы линукса с юзером исключает его массовое распространение.
    А более юзер-френдли модель в итоге сильно разрушает основы безопасности.

    Т.е. в целом линукс, наверное, останется более надёжным в любых обстоятельствах. Но станет уязвимым.

    P.S. Кстати, какое-то время назад, в журнале на работе, увидел упоминание, будто Майкрософт готовит новую ОС, на совершенно новом ядре. Не слышал про такое/не связано ли это с их проектом Singularity?

    • Да, холивар получился вяленьким совсем :)
      Я про их новую ОС не слышал. Идея правильная, но если им придется обратную совместимость в Windows поддерживать - будет все тоже самое.
      А без обратной совместимости и кучи софта - кому нужна такая ОС?

  • heller

    Если почитать ленту, транслирующую выявленные уязвимости, то для приложений под *никсы распространены:
    - Переполнение буфера (система в данном случае не специфична, обшибка присуща софту на любой платформе)
    - Повышение прав в системе.
    Комбинируя эти подходы… Так что автор прав - всё дело в пресловутой market share.

    Второе: доля *никсов на серверах со временем падает.
    Не потому, что плохи *никсы (или становятся хуже), а потому что винда стала значительно надёжнее.
    Если адекватная организация не занимается маршрутизацией трафика и т.п. сете-ориентированными задачами,
    то ставить она на критические задачи будет винду.

  • mir

    все браузеры уязвимы,просто надо иметь антивирус или фаервол,тестировал эту уязвимость и она ну очень серьезна

  • Занятно! Спасибо за материал.

  • SS

    Ни что так не может повеселить как наивная уверенность Unix-го пользователя в том что его система не ломаемая и не заражаемая ни при каких обстаятельствах :)
    Открытость кода, работа под root-ом, бла бла бла… смех да и только :)
    Кому то нужна открытость кода чтобы читать его, кто то и бинарники читает… если легче найти пользователям уязвимость чтобы закрыть, значит профи это сделать еще проще чтобы найти новую…
    Социальная инженерия взламывает любой root :) А никсовые пользователи что про трою не читали? :)
    Троянцев устанавливает сам пользователь, ну придется ему для этого зайти под рутом делов то :)
    И скажу по секрету, под Виндой можно тоже всем все запретить и создавать файлы и изменять реестр и т.д. для любого пользователя с любыми правами :) Так что умнее говорить что то вроде мой Linux,Unix,Unbuntu и т.д. с ядром сборки х.х.х не ломали ни разу и не более :)

  • Headin

    Ни фига не понял. Понял только - не хочешь заполучить вирус - не включай копм!

Ответить

 

 

 

Вы можете использовать эти HTML тэги

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>