Adobe исправляет 12 Флэш-ошибок, 3 вызванных Microsoft
В рекомендациях по безопасности, опубликованных в четверг днем, Adobe кратко описала дюжину уязвимостей, 10 из которых были помечены как потенциально ведущие к угону систем или к хакерам, выполняющим свои собственные вредоносные программы на машине.
Уязвимости затрагивают версии Flash Player для Windows, Mac и Linux. Все еще нужно исправить: издание Solaris.
На прошлой неделе Adobe пообещала, что исправит Flash 30 июля после того, как появились сообщения о нападениях как на Flash, так и на Adobe Reader, популярный просмотрщик PDF-файлов. Хакеры атакуют пользователей, работающих под управлением Flash, через дисководы, размещенные на скомпрометированных веб-сайтах, и нацеливаются на людей, работающих под управлением Reader, через ошибку в интерпретаторе Flash, запеченную в этой программе.
Сегодня ожидается обновление Reader и Adobe Acrobat.
Adobe также позаботилась о трех уязвимостях в Flash, которые были результатом использования разработчиками компании глючной "библиотеки" кода Microsoft при создании программы. В среду Adobe подтвердила, что использовала Дефектный код разработки Microsoft-в частности, библиотека активных шаблонов (ATL), библиотека кода, входящая в состав Visual Studio-для создания как Flash Player, так и Shockwave Player. Последний был залатан в тот же день.
Во вторник Microsoft признала, что ATL содержит множество уязвимостей, по крайней мере одна из которых восходит к началу 2008 года. Хотя Microsoft исправила Visual Studio, чтобы устранить ошибки в ATL, эти обновления не исправляют программное обеспечение, разработанное с использованием дефектной библиотеки. Вместо этого поставщики должны использовать исправленную Visual Studio для перекомпиляции своего кода, а затем распространять новое безопасное программное обеспечение.
Это то, что Adobe сделала вчера, работая по плотному графику.
По словам Брэда Аркина, директора Adobe по безопасности и конфиденциальности продуктов, Microsoft уведомила его компанию об уязвимостях ATL 10 июля, всего за две недели до того, как Microsoft объявила об этих недостатках.
Этот график отличался от того , что Microsoft намекнула во вторник, когда Майк Риви, директор Центра реагирования на проблемы безопасности компании, сказал, что его команда безопасности изучала недостатки ATL с начала 2008 года и координировала работу со сторонними поставщиками для изучения их кода в течение последних нескольких месяцев.
"[Microsoft] очень быстро собирала ресурсы, чтобы помочь нам провести сортировку наших продуктов", - сказал Аркин, добавив, что Adobe потратила значительное время и ресурсы на выяснение того, какие из ее продуктов содержат глючный код ATL. Имея в своем портфолио более 200 продуктов, Adobe была вынуждена расставить приоритеты и сосредоточилась на наиболее часто используемых программах, таких как Flash Player, Shockwave Player, Reader и Acrobat.
Первые две включали уязвимости ATL, в то время как вторая пара этого не делала.
- Самое трудное было определить, что уязвимо, - сказал Аркин. "Это легко восстановить тестовую версию, но тогда мы должны были убедиться, что [это] работает и убедитесь, что мы не нарушили его."
Аркин отказался критиковать Microsoft за ошибки ATL и вместо этого похвалил партнера Adobe за обмен информацией в преддверии четверговых исправлений. Но он признал, что недостатки Microsoft были проблемой. "Ошибка в коде, которая реплицируется через несколько продуктов, усложняет работу, необходимую для сортировки. Это была большая работа."
Adobe намеревалась исправить уязвимости ATL в обновлении только для Windows до Flash Aug. 11, но когда Microsoft продвинула свой собственный релиз, Adobe последовала его примеру. "Мы старались быть очень осторожными, чтобы не публиковать или не публиковать информацию до того, как они будут готовы", - сказал Аркин.
Flash Player 9.0.246.0 и 10.0.32.18 для Windows, Mac и Linux можно загрузить с веб-сайта Adobe . Кроме того, пользователи могут использовать встроенный механизм автоматического обновления Flash для захвата новых версий.
Автор: Keylogger.Org Команда