Video: How to Enable Flash in Firefox (Nobyembre 2024)
Ang dalawang zero na araw na kahinaan, ang CVE 2013-0643 at CVE 2013-0648, ay sinasamantala sa mga target na pag-atake kung saan ang mga gumagamit ay na-trick sa pag-click sa isang link sa isang website na nagho-host ng mga nakakahamak na Flash file, sinabi ni Adobe sa advisory ng seguridad na inilabas nitong Martes. Ang kumpanya ay hindi nagpautang ng anumang samahan o mananaliksik na natagpuan ang mga kahinaan sa zero na araw, ngunit na-kredito ang IBM X-lakas para sa pag-uulat ng ikatlong butas ng seguridad.
Ang mga inhinyero ng seguridad ng Adobe sa RSA Conference ay tumanggi na magbigay ng anumang karagdagang impormasyon.
"Ang pagsasamantala para sa Cve 2013-0643 at CVE 2013-0648 ay idinisenyo upang ma-target ang browser ng Firefox, " sabi ni Adobe sa advisory.
Ang mga pag-atake ay maaaring mag-trigger ng mga kahinaan upang maging sanhi ng pag-crash ng Flash Player at makakuha ng remote control ng computer, sinabi ng Adobe. Ang mga zero-day na mga bug ay nauugnay sa isang isyu ng pahintulot sa sandbox ng Flash Player Firefox at isang kapintasan sa tampok na ExternalInterface Actionkrip, na maaaring samantalahin upang maisagawa ang malisyosong code. Ang pangatlo, sa kasalukuyan ay hindi pa sinasamantala, ang bug ay isang kahinaan ng labis na buffer sa isang serbisyo ng broker ng Flash Player, at maaaring magamit upang maisagawa ang malisyosong code, sinabi ni Adobe.
Ang pag-update ay nakakaapekto sa lahat ng mga bersyon ng Flash sa Windows, Mac OS X, at Linux. Maaaring i-download ng mga gumagamit ang pinakabagong bersyon mula sa website ng Adobe, o i-on ang mga pag-update sa background at hayaan ang software na awtomatiko ang bersyon. I-update ng Google at Microsoft ang Flash sa Chrome at Internet Explorer 10 (para sa Windows 8) nang hiwalay.
Ang pag-update ng Flash na ito ay ang pangalawang out-of-band patch para sa Flash Player ngayong buwan, ang pangatlong Adobe patch sa buwan ng Pebrero, at ika-apat na naturang patch na inilabas noong 2013 hanggang ngayon.
Halos isang taon na mula nang mai-on ng Adobe ang mga autmatic update para sa Flash at Reader, at ang rate ng pag-update ay napakalaking, si Brad Arkin, seguridad ng senior director at privacy sa Adobe, sinabi sa SecurityWatch sa RSA Conference. Ang nakaraang modelo kung saan sinenyasan ang mga gumagamit upang i-download ang pinakabagong mga pag-update ay hindi sapat upang makuha ang mga gumagamit upang aktwal na i-patch ang Flash Player, sinabi ni Arkin. Sa paglipat ng mga update sa background, ang rate ng tagumpay ay naging makabuluhan.
Upang makita ang lahat ng mga post mula sa aming saklaw ng RSA, tingnan ang aming pahina ng Mga Ulat sa Mga Ulat.
