Adobe conferma Flash contiene Microsoft dev bug di codice
Adobe si fece avanti ieri a riconoscere che è il primo grande fornitore di terze parti per avere utilizzato Microsoft viziata codice di sviluppo di tutti i suoi prodotti.
Secondo più bollettini di sicurezza pubblicati nel proprio sito web i martedì, Windows versioni di Adobe Flash Player e Shockwave Player porto di vulnerabilità, poiché Adobe utilizzato un buggy Microsoft codice "biblioteca", durante il loro sviluppo.
Non è una sorpresa che il Flash Player è vulnerabile agli attacchi. Tre settimane fa una coppia di ricercatori tedeschi hanno segnalato la presenza di numerose applicazioni di terze parti che contengono il difettosa codice della libreria, e prende il nome di Flash come un esempio.
Adobe patch Shockwave Player di ieri, e a seguire quella di domani con un precedentemente-aggiornamento programmato per l'estremo più popolare di Flash Player.
"Abbiamo valutato l'impatto delle versioni vulnerabili di Microsoft Active Template Library (ATL) di Adobe portfolio di prodotti [e] stabilito che il Flash Player e Shockwave Player sono i due prodotti che sfruttano le versioni vulnerabili di ATL," disse Wendy, la Polonia, Adobe team di sicurezza in un' azienda di accesso al blog.
Martedì, Microsoft ha confermato che l'ATL (Active Template Library), una libreria di codice incluso in Visual Studio, contenute diverse vulnerabilità, almeno una richiamano i primi mesi del 2008. Anche se Microsoft ha rilasciato una patch di Visual Studio per eliminare le cimici in ATL, gli aggiornamenti non correggere automaticamente il software sviluppato usando l'imperfetto biblioteca. Invece, i fornitori, tra cui Microsoft, è necessario utilizzare la patch di Visual Studio per ricompilare il codice, quindi distribuire il nuovo software sicuro.
Che è quello che Adobe ha fatto ieri per Shockwave. In un bollettino di sicurezza pubblicato martedì, aggiornato Adobe Shockwave Player alla Versione 11.5.1.601, rilevando che la patch risolto una vulnerabilità critica che potrebbe essere utilizzato per dirottare un PC Windows.
Flash Player riceverà lo stesso trattamento giovedì, Adobe ha promesso. "Adobe Flash Player 9.0.159.0 e 10.0.22.87, e precedenti 9.x e 10.x versioni installate su sistemi operativi Windows per l'utilizzo con Internet Explorer, sfruttano una versione vulnerabile di ATL," leggere un advisory pubblicato ieri. "Siamo nel processo di sviluppo di un fix per il problema, e previsto il rilascio di un aggiornamento per Flash Player v9 e v10 per Windows da luglio 30, 2009," Adobe ha detto.
La scorsa settimana, Adobe ha promesso di patch di Flash Player da domani per affrontare un altro bug che è stato sfruttato in gran numero da criminali. Secondo danese di tracciamento dei bug impresa di Secunia, oltre il 92% di tutti gli utenti di Windows sono vulnerabili al corrente di Flash Player attacchi.
Il software Adobe, tra cui il popolare Lettore di PDF viewer-che sarà aggiornato anche per chiudere quel buco che ha portato ad attacchi su larga scala, -- non contiene lacunosa ATL codice, in Polonia, ha detto. Adobe Reader plug-in per Internet Explorer ATL-bug-free, ha detto, e anche se i difetti sono cotti in Flash Player plug-in del browser, solo gli utenti di IE sono vulnerabili. "Le persone che utilizzano Flash Player all'interno del browser Firefox-come anche tutte le altre Finestre del browser basati su non Internet Explorer -- non sono vulnerabili," ha notato.
Uno dei tre bug in ATL, è radicata in una semplice errore di programmazione: Secondo Microsoft e ricercatori esterni, ATL funzione chiamata "ATL::CComVariant::ReadFromStream" contiene un singolo estranei carattere "&" .
Fino a quando una patch per Flash è disponibile, Adobe ha esortato i clienti a "considerare" l'installazione di Microsoft MS09-034 aggiornamento e che la società consegnati martedì tramite Windows Update. Incluso nel che IE aggiornamento nuove misure difensive che sono tenuti a rilevare e bloccare i controlli ActiveX, come Flash Player e Shockwave Player, che sono stati creati utilizzando il buggy ATL.
Adobe pubblicare il link per la patch del Flash Player sul proprio sito di protezione.
Data di pubblicazione: Secondo più bollettini di sicurezza pubblicati nel proprio sito web i martedì, Windows versioni di Adobe Flash Player e Shockwave Player porto di vulnerabilità, poiché Adobe utilizzato un buggy Microsoft codice "biblioteca", durante il loro sviluppo.
Non è una sorpresa che il Flash Player è vulnerabile agli attacchi. Tre settimane fa una coppia di ricercatori tedeschi hanno segnalato la presenza di numerose applicazioni di terze parti che contengono il difettosa codice della libreria, e prende il nome di Flash come un esempio.
Adobe patch Shockwave Player di ieri, e a seguire quella di domani con un precedentemente-aggiornamento programmato per l'estremo più popolare di Flash Player.
"Abbiamo valutato l'impatto delle versioni vulnerabili di Microsoft Active Template Library (ATL) di Adobe portfolio di prodotti [e] stabilito che il Flash Player e Shockwave Player sono i due prodotti che sfruttano le versioni vulnerabili di ATL," disse Wendy, la Polonia, Adobe team di sicurezza in un' azienda di accesso al blog.
Martedì, Microsoft ha confermato che l'ATL (Active Template Library), una libreria di codice incluso in Visual Studio, contenute diverse vulnerabilità, almeno una richiamano i primi mesi del 2008. Anche se Microsoft ha rilasciato una patch di Visual Studio per eliminare le cimici in ATL, gli aggiornamenti non correggere automaticamente il software sviluppato usando l'imperfetto biblioteca. Invece, i fornitori, tra cui Microsoft, è necessario utilizzare la patch di Visual Studio per ricompilare il codice, quindi distribuire il nuovo software sicuro.
Che è quello che Adobe ha fatto ieri per Shockwave. In un bollettino di sicurezza pubblicato martedì, aggiornato Adobe Shockwave Player alla Versione 11.5.1.601, rilevando che la patch risolto una vulnerabilità critica che potrebbe essere utilizzato per dirottare un PC Windows.
Flash Player riceverà lo stesso trattamento giovedì, Adobe ha promesso. "Adobe Flash Player 9.0.159.0 e 10.0.22.87, e precedenti 9.x e 10.x versioni installate su sistemi operativi Windows per l'utilizzo con Internet Explorer, sfruttano una versione vulnerabile di ATL," leggere un advisory pubblicato ieri. "Siamo nel processo di sviluppo di un fix per il problema, e previsto il rilascio di un aggiornamento per Flash Player v9 e v10 per Windows da luglio 30, 2009," Adobe ha detto.
La scorsa settimana, Adobe ha promesso di patch di Flash Player da domani per affrontare un altro bug che è stato sfruttato in gran numero da criminali. Secondo danese di tracciamento dei bug impresa di Secunia, oltre il 92% di tutti gli utenti di Windows sono vulnerabili al corrente di Flash Player attacchi.
Il software Adobe, tra cui il popolare Lettore di PDF viewer-che sarà aggiornato anche per chiudere quel buco che ha portato ad attacchi su larga scala, -- non contiene lacunosa ATL codice, in Polonia, ha detto. Adobe Reader plug-in per Internet Explorer ATL-bug-free, ha detto, e anche se i difetti sono cotti in Flash Player plug-in del browser, solo gli utenti di IE sono vulnerabili. "Le persone che utilizzano Flash Player all'interno del browser Firefox-come anche tutte le altre Finestre del browser basati su non Internet Explorer -- non sono vulnerabili," ha notato.
Uno dei tre bug in ATL, è radicata in una semplice errore di programmazione: Secondo Microsoft e ricercatori esterni, ATL funzione chiamata "ATL::CComVariant::ReadFromStream" contiene un singolo estranei carattere "&" .
Fino a quando una patch per Flash è disponibile, Adobe ha esortato i clienti a "considerare" l'installazione di Microsoft MS09-034 aggiornamento e che la società consegnati martedì tramite Windows Update. Incluso nel che IE aggiornamento nuove misure difensive che sono tenuti a rilevare e bloccare i controlli ActiveX, come Flash Player e Shockwave Player, che sono stati creati utilizzando il buggy ATL.
Adobe pubblicare il link per la patch del Flash Player sul proprio sito di protezione.
Autore: Keylogger.Org Team
