Adobe подтверждает, что Flash содержит ошибку Microsoft dev code
Вчера Adobe выступила вперед, чтобы признать, что это первый крупный сторонний поставщик, который использовал дефектный код разработки Microsoft в своих продуктах.
Согласно многочисленным рекомендациям по безопасности, опубликованным на его сайте во вторник, версии Windows Flash Player и Shockwave Player содержат уязвимости, поскольку Adobe использовала глючную "библиотеку" кода Microsoft во время своей разработки.
Неудивительно, что Flash Player уязвим для атак. Три недели назад пара немецких исследователей сообщила об обнаружении многочисленных сторонних приложений которые содержат дефектный библиотечный код и называются Flash в качестве примера.
Adobe исправила Shockwave Player вчера, а завтра последует ранее запланированное обновление для гораздо более популярного Flash Player.
"Мы оценили влияние уязвимых версий библиотеки Microsoft Active Template Library (ATL) на портфель продуктов Adobe [и] определили, что Flash Player и Shockwave Player-это два продукта, которые используют уязвимые версии ATL", - сказала Венди Поланд из команды безопасности Adobe в своем блоге в компании .
Во вторник Microsoft подтвердила это что библиотека активных шаблонов (ATL), библиотека кода, входящая в состав Visual Studio, содержит несколько уязвимостей, по крайней мере одна из которых относится к началу 2008 года. Хотя Microsoft исправила Visual Studio, чтобы устранить ошибки в ATL, эти обновления не исправляют автоматически программное обеспечение, разработанное с использованием дефектной библиотеки. Вместо этого поставщики, включая Microsoft, должны использовать исправленную Visual Studio для перекомпиляции своего кода, а затем распространять новое безопасное программное обеспечение.
Это то, что Adobe сделала вчера для Shockwave. В бюллетене по безопасности выпущенный во вторник Adobe обновил Shockwave Player до версии 11.5.1.601, отметив, что патч исправил критическую уязвимость, которая могла быть использована для захвата ПК с Windows.
Flash Player получит такое же лечение в четверг, пообещал Adobe. "Adobe Flash Player 9.0.159.0 и 10.0.22.87, а также более ранние версии 9.x и 10.версии x, установленные в операционных системах Windows для использования с Internet Explorer, используют уязвимую версию ATL", - говорится в рекомендациях отправлено вчера. "Мы находимся в процессе разработки исправления этой проблемы и ожидаем предоставить обновление для Flash Player v9 и v10 для Windows к 30 июля 2009 года", - сказал Adobe.
На прошлой неделе Adobe пообещала исправить Flash Player к завтрашнему дню, чтобы устранить еще одну ошибку, которая была использована в больших количествах преступниками. По данным датской компании по отслеживанию ошибок Secunia, более 92% всех пользователей Windows уязвимы для текущих атак Flash Player.
Другое программное обеспечение Adobe, включая популярный Reader PDF viewer , который также будет обновлен, чтобы закрыть ту же дыру, которая привела к крупномасштабным атакам, не содержит дефектного кода ATL, заявила Польша. Плагин Adobe Reader для Internet Explorer не содержит ошибок ATL, сказала она, и хотя недостатки запечены в плагине браузера Flash Player, уязвимы только пользователи IE. "Люди, использующие Flash Player в браузере Firefox - а также все другие браузеры на базе Windows, которые не являются Internet Explorer,-не уязвимы", - отметила она.
Одна из трех ошибок в ATL коренится в простой ошибке программирования: по мнению как Microsoft, так и внешних исследователей, функция ATL под названием "ATL::CComVariant::ReadFromStream" содержит один посторонний символ"&".
До тех пор, пока патч для Flash не будет доступен, Adobe настоятельно призвала клиентов "рассмотреть" возможность установки обновления Microsoft MS09-034, которое эта компания поставила во вторник через Центр обновления Windows. В это обновление IE включены новые защитные меры, которые должны обнаруживать и блокировать элементы управления ActiveX, такие как Flash Player и Shockwave Player, созданные с помощью багги ATL.
Adobe разместит ссылки на исправленный Flash Player на своем сайте безопасности .
Дата публикации: Согласно многочисленным рекомендациям по безопасности, опубликованным на его сайте во вторник, версии Windows Flash Player и Shockwave Player содержат уязвимости, поскольку Adobe использовала глючную "библиотеку" кода Microsoft во время своей разработки.
Неудивительно, что Flash Player уязвим для атак. Три недели назад пара немецких исследователей сообщила об обнаружении многочисленных сторонних приложений которые содержат дефектный библиотечный код и называются Flash в качестве примера.
Adobe исправила Shockwave Player вчера, а завтра последует ранее запланированное обновление для гораздо более популярного Flash Player.
"Мы оценили влияние уязвимых версий библиотеки Microsoft Active Template Library (ATL) на портфель продуктов Adobe [и] определили, что Flash Player и Shockwave Player-это два продукта, которые используют уязвимые версии ATL", - сказала Венди Поланд из команды безопасности Adobe в своем блоге в компании .
Во вторник Microsoft подтвердила это что библиотека активных шаблонов (ATL), библиотека кода, входящая в состав Visual Studio, содержит несколько уязвимостей, по крайней мере одна из которых относится к началу 2008 года. Хотя Microsoft исправила Visual Studio, чтобы устранить ошибки в ATL, эти обновления не исправляют автоматически программное обеспечение, разработанное с использованием дефектной библиотеки. Вместо этого поставщики, включая Microsoft, должны использовать исправленную Visual Studio для перекомпиляции своего кода, а затем распространять новое безопасное программное обеспечение.
Это то, что Adobe сделала вчера для Shockwave. В бюллетене по безопасности выпущенный во вторник Adobe обновил Shockwave Player до версии 11.5.1.601, отметив, что патч исправил критическую уязвимость, которая могла быть использована для захвата ПК с Windows.
Flash Player получит такое же лечение в четверг, пообещал Adobe. "Adobe Flash Player 9.0.159.0 и 10.0.22.87, а также более ранние версии 9.x и 10.версии x, установленные в операционных системах Windows для использования с Internet Explorer, используют уязвимую версию ATL", - говорится в рекомендациях отправлено вчера. "Мы находимся в процессе разработки исправления этой проблемы и ожидаем предоставить обновление для Flash Player v9 и v10 для Windows к 30 июля 2009 года", - сказал Adobe.
На прошлой неделе Adobe пообещала исправить Flash Player к завтрашнему дню, чтобы устранить еще одну ошибку, которая была использована в больших количествах преступниками. По данным датской компании по отслеживанию ошибок Secunia, более 92% всех пользователей Windows уязвимы для текущих атак Flash Player.
Другое программное обеспечение Adobe, включая популярный Reader PDF viewer , который также будет обновлен, чтобы закрыть ту же дыру, которая привела к крупномасштабным атакам, не содержит дефектного кода ATL, заявила Польша. Плагин Adobe Reader для Internet Explorer не содержит ошибок ATL, сказала она, и хотя недостатки запечены в плагине браузера Flash Player, уязвимы только пользователи IE. "Люди, использующие Flash Player в браузере Firefox - а также все другие браузеры на базе Windows, которые не являются Internet Explorer,-не уязвимы", - отметила она.
Одна из трех ошибок в ATL коренится в простой ошибке программирования: по мнению как Microsoft, так и внешних исследователей, функция ATL под названием "ATL::CComVariant::ReadFromStream" содержит один посторонний символ"&".
До тех пор, пока патч для Flash не будет доступен, Adobe настоятельно призвала клиентов "рассмотреть" возможность установки обновления Microsoft MS09-034, которое эта компания поставила во вторник через Центр обновления Windows. В это обновление IE включены новые защитные меры, которые должны обнаруживать и блокировать элементы управления ActiveX, такие как Flash Player и Shockwave Player, созданные с помощью багги ATL.
Adobe разместит ссылки на исправленный Flash Player на своем сайте безопасности .
Автор: Keylogger.Org Команда
