Drošības trūkums ietekmē visas Flash Player versijas un palika neatklāts līdz katastrofālajam hakeru komandas datu pārkāpumam.
Adobe strauji izstrādā kritisku ievainojamību, kas ietekmē Flash Player un kas tika atklāta tikai pēc tam, kad hakeris ielauzās Hacking Team sistēmās.
Bija serveri, kas pieder novērošanas uzņēmumam Hacking Team iefiltrējās nedēļas nogalē. Uzbrukumā uzņēmums sauca par "sarežģītu", kas "paņēma dienas vai nedēļas, lai to paveiktu", hakeris devās prom ar over 400 GB korporatīvo datu.
Milānā, Itālijā bāzētais uzņēmums ir labi pazīstams ar novērošanas rīku un spiegprogrammatūru nodrošināšanu valdības aģentūrām, izlūkdienestiem. vienības un policijas spēki visā pasaulē, lai gan konkrēta informācija saistībā ar šiem līgumiem nekad netika atklāta - līdz tagad.
UZLAUKŠANAS KOMANDAS PĀRKĀPŠANAS LAIKA PLĀNS
- Datorurķēšanas komanda skārusi pārkāpumu; noplūde liecina, ka tā pārdeva spiegprogrammatūru nomācošiem režīmiem
- Datorurķēšanas komandas pārkāpums: 400 GB uzņēmuma datu izgāztuve un ņirgāšanās tiešsaistē
- Datorurķēšanas komanda apstiprina, ka tā ir uzlauzta
- Atklāts uzlaušanas komandas datu zādzības vaininieks
- Hacking Team izmantoja šokējoši sliktas paroles
Klientu apkalpošanas vēsture, finanšu pārskati, e-pasta ziņojumi un izmantošanas pirmkods ir tikai daži no failiem kuras ir rūpīgi pārbaudītas. Pētnieki, žurnālisti, aktīvisti un citi interesenti iedziļinās nozagtajos datos, kas tagad ir izauga ārpus viena strauta un ir pieejama, izmantojot spoguļus, .onion adreses Tor tīklā un magnētu saites.
Otrdien Trend Micro pētnieki atklāja vairākus varoņdarbus un to kodēšana kā daļa no datu izgāztuves. Divi no ekspluatācijas veidiem ietekmē Adobe Flash, bet otrs ir vērsts uz Windows operētājsistēmu.
Viskritiskākā ievainojamība, ko Hacking Team informācijas izgāztuvē aprakstījusi kā "skaistāko Flash kļūdu pēdējo četru gadu laikā", ir ByteArray klases user-after-free (UAF) ievainojamība, ko var izmantot, lai ignorētu datora funkcijas, mainītu objektu vērtību un pārdalītu atmiņa.
Ievainojamības koncepcijas pierādījums parāda, kā šo trūkumu var izmantot, lai atvērtu Windows kalkulatoru, lejupielādētu un izpildītu patvaļīgu ļaunprātīgu kodu upura datorā.
Ievainojamība, kas apiet Windows Control Flow Guard drošības sistēmu, ietekmē Adobe Flash Player 9 vai jaunāku versiju.
Padomā Adobe atklāja, ka kritiskajai ievainojamībai tagad ir piešķirts CVE numurs (CVE-2015-5119). Trūkums ietekmē visas Flash Player versijas operētājsistēmās Windows Linux un Mac.
"Adobe ir informēts par ziņojumiem, ka ļaunprātīga izmantošana, kas vērsta uz šo ievainojamību, ir publiski publicēta," norāda uzņēmums.
Saskaņā ar Trend Micro pētniekiem, Angler ekspluatācijas komplekts, Nuclear exploit komplekts un Neutrino ekspluatācijas komplekts ir atjaunināti, iekļaujot jauno trūkumu - uzsverot, cik svarīgi ir nodrošināt programmatūras atjaunināšanu (ja vispirms pieprasāt izmantot Flash vieta).
Adobe saka, ka ielāps būs pieejams 8. jūlijā.
Lasiet tālāk: Populārākās izvēles
- Drošības pētnieks nejauši nomet Adobe Reader, Windows kritiskās ievainojamības bumbu
- Tēva diena — 2015: tehnoloģiju dāvanu komplekts par mazāk nekā 100 ASV dolāriem
- Nopietna iOS kļūda liek iCloud paroles zādzībai
- Malwarebytes izveido nevēlamās programmatūras noņemšanas rīku
- LOT aviokompānijas uzlaušana liecina par pirmo kiberdraudu tendenci
- Hakeri kontrolē medicīniskos sūkņus, lai ievadītu letālas devas