Исследователи информационной безопасности из «Лаборатории Касперского» Костин Раю (Costin Raiu) и Антон Иванов обнаружили критическую уязвимость в Adobe Flash Player. Уязвимы версии программного Adobe Flash Player 21.0.0.242 и более ранние версии для платформ Windows, Mac, Linux и Chrome OS.
По словам исследователей, найденная ими уязвимость с весный текущего года эксплуатируется APT-группой киберпреступников StarCruft. Хакеры продолжают вести две операции по взлому — они получили названия Operation Daybreak и Operation Erebus. Первая из них была начата в марте 2016 года, в ее ходе использовался ранее неизвестный 0day-экпслоит для Adobe Flash Player, а целью атаки были высокопоставленные жертвы. В ходе второй злоумышленники применили эксплоит для уязвимости CVE-2016-4117, существует вероятность и использования ими еще одного эксплоита для уязвимости нулевого дня CVE-2016-0147, патч для которой был выпущен в апреле.
Жертвы ScarCruft были обнаружены в ряде стран, в том числе в России, Непале, Южной Корее, Китае, Индии, Кувейте и Румынии.
Выпуск патча для обнаруженной экспертами уязвимости запланирован на четверг, 16 июня. Тогда же исследователи обещали представить больше информации об обнаруженных проблемах безопасности в Adobe Flash Player.
В качестве временной меры до выхода исправления эксперты Positive Technologies рекомендуют пользователям отключить Adobe Flash в браузерах, а при необходимости его использования делать это только для доверенных сайтов.
Для предотвращения последствий атаки на платформе Windows можно использовать Enhanced Mitigation Experience Toolkit (EMET).
Эксперты Positive Technologies рекомендуют пользователям корпоративных ИТ-систем применять специализированные средства противодействия сложным атакам с использованием новых уязвимостей. К примеру, система MaxPatrol SIEM уже сейчас в состоянии обнаруживать указанную уязвимость Adobe Flash Player:
В MaxPatrol SIEM используется технология Scanless Vulnerability Detection, которая позволяет определить актуальную картину уязвимостей без необходимости повторного сканирования. Достаточно просто обновить базу уязвимостей.
Кроме того для предотвращения проблем, связанных с эксплуатацией указанной уязвимости, можно использовать систему контроля защищености и соответствия стандартам MaxPatrol 8.
Комментарии (24)
amarao
17.06.2016 11:54Почему Адоби всё время ломает ABI у флеш-плеера? Что ни неделя, то смена функции для выполнения кода в целевой системе. Сделали бы стандартный exec() да и всё.
juwagn
17.06.2016 12:25Интересные нюансы, в IE edge 12 и Chrome как известно, поддержка флэша встроенная.
Но те не обновляются автоматически флэшевской службой обновлений, а необходимо эти браузеры обновить отдельно, чтобы модуль встроенного флэша также обновился.
Для IE edge вовсе пришлось перегрузиться, чтобы показало новую версию
www.adobe.com/ru/software/flash/about
На Файрфоксе со своим Npapi это произошло в первую очередь.
Очень настоятельно рекомендую на Файрфоксе использовать флэшблокер и разрешать отдельные флэш-элементы по отдельности. Во первых экономит трафик, ресурсы, ибо рекламу не приходится разрешать, и вдовесок вероятность, что разрешённое видео будет содержать эксплоит, крайне низка.
TheRabbitFlash
22.06.2016 10:38На хабре стали часто мелькать новости, что «появился вымагатель на JavaScript». Это ответ для тех, что будет, если исчезнет флеш.
Tester007
22.06.2016 21:11Так он же не в браузере файлы шифрует (по крайней мере не без спроса доступа к файлам). Просто JS уже давно вышел из браузера. А так то и на AIR можно написать шифровальщик. Так что смерть флеша никаким образом не связана с появлением шифровальщиков на JS.
TheRabbitFlash
22.06.2016 23:05О том и речь. Пользователь получит свой вирус либо через браузер напрямую, либо без браузера. Пока все кричат слева — воры лезут справа.
Tester007
23.06.2016 08:21В этом и вся разница. В первом случае пользователь ничего не контролирует. Во втором запускает вирус сам.
TheRabbitFlash
24.06.2016 13:11Да ну? Может это почитаете? http://news.softpedia.com/news/html5-ads-aren-t-that-safe-compared-to-flash-study-reveals-505597.shtml
Tester007
24.06.2016 16:49И что? Никто и не отрицает что в браузерах тоже появляются 0day уязвимости, но что-то не видно на Хабре статей каждую неделю об очередной 0day в Хроме.
solver
24.06.2016 23:26+1Так об этом и речь.
Дыр везде полно, на флеше свет клином не сошелся. Но почему-то активно полоскают только флеш)
TheRabbitFlash
25.06.2016 00:50Так это же хабр. Если кого-то убьет током из флеш-накопителя, то тут обязательно приплетут адоби.
andreili
Flash Player?
Не, не слышали…
Уже года 3 не пользуюсь им вообще, после начала волны новостей с его уязвимостями.
solver
>Уже года 3 не пользуюсь им вообще, после начала волны новостей с его уязвимостями.
Главное, все делать во время…
TheRabbitFlash
Sirion
А существует версия этой нескучной картинки, от которой Дитмар Эльяшевич не ворочается беспокойно в гробу?
TheRabbitFlash
Взял первую попавшуюся
solver
Это точно мне картинка?
TheRabbitFlash
Нет, она была в адрес andreili :) И для других, кто «Я сую свой нос во все новости про флеш лишь потому, что его судьба меня перестала интересовать еще N-лет назад».
Alexey2005
Куча крупных сервисов его использует, особенно стриминговые. Твитч, к примеру. И здесь заменить флеш совершенно нечем — HTML5-технологии всё ещё совершенно непригодны для стриминга. Ещё лет пять стримерам сидеть на флеше без вариантов.
justabaka
Какие это там технологии непригодны для стриминга? Сущий бред, технологии что со стороны стримера (взять аудио+видео, маленько пожать и отправить), что для конечного пользователя (HLS) абсолютно идентична. При этом длина и «живость» трансляции никакой роли вообще не играет: многие ТВ-сервисы именно в этом виде отдают как прямой эфир, так и архив своим пользователям, ибо он кроссплатформенный и понимается огромным количеством устройств и плееров.
Кстати, вот вам сюрприз: и на youtube, и на твитче используется HLS. Твитч просто (пока еще?) не осилил полный переход.
P.S. http://gaming.youtube.com/live
Alexey2005
Часть видео с gaming.youtube.com/live открывается, а на некоторых — "Формат видео или тип MIME не поддерживаются". Это Firefox 47.
И на reddit'е представители twitch примерно о том же пишут — HLS доступен, но у него проблемы с совместимостью и хреновая оптимизация, из-за чего HLS жрёт слишком много процессорных ресурсов и даёт слишком большие задержки.
Picarto.tv (стриминг для художников) тоже без flash не работает, кстати (и вот как они это объясняют). Так что флешу жить и жить ещё.
justabaka
Что такое «оптимизация у HLS» и насколько она хреновая, в чем измеряется хреновость? Без конкретики это все болтология на уровне «я слышал, игрушка XXX тормозит». Далее, при нормальной логике плеера задержка составляет длину сегмента, которая обычно выставляется в 5-10 секунд, но можно ведь поставить и поменьше. Это не PS4 Remote Play и не Steam Link, задержка всегда есть и будет, а на чемпионатах она еще и настраивается на несколько минут по очевидным причинам.
А на реддите в указанной теме годичной давности не ищется ни одна из указанных проблем. Более того, кто-то даже пишет, что с HLS его ноутбуку становится лучше :) Да и по личным наблюдениям на Youtube все начинает воспроизводиться гораздо быстрее и с меньшими ресурсозатратами, особенно, если заходить под Linux.
Просто кто-то делает (google), а у кого-то всегда находятся причины не делать, деньги же и без этого идут.
solver
> Просто кто-то делает (google), а у кого-то всегда находятся причины не делать, деньги же и без этого идут.
Это вот кстати хороший показатель, почему flash популярен и почему html5, за столько лет развития, еле еле смог заменить видосики на ютубе.
Tester007
Узнайте тогда о хитбоксе (и ютубе, как уже подметили). На нем, кстати, процессор грузит намного меньше чем на твиче, хотя на обоих HLS.
Так что HLS давно уже не проблема, проблема в том, что крупные сайты затягивают переход с флэша.