Существует серьезная опасность встраивания этого 0day эксплойта в популярные наборы эксплойтов для установки вредоносных программ на полностью обновленные up-to-date версии Windows, при чем это может быть сделано в самое ближайшее время. Эксплойт для прошлой 0day уязвимости Flash Player CVE-2015-5119 за несколько дней был адаптирован для использования сразу в шести наборах эксплойтов.
CVE-2015-5122 присутствует в версиях Flash Player для Windows, OS X и Linux. Компания собирается закрыть эту уязвимость завтра, 12 июля.
Рис. Часть кода эксплойта Flash Player, которая специализируется на создании процесса в 32-битной версии Windows, после успешной эксплуатации уязвимости.
Мы настоятельно рекомендуем пользователям отключить Flash Player для используемого браузера до выхода исправления со стороны Adobe. Инструкции по этому процессу можно найти здесь.
be secure.
Комментарии (53)
beduin01
11.07.2015 13:32+1Правильно ли я помню, что в следующей версии FireFox обещали flash плеер на JS добавить для просмотра роликов, на манер JS PDF-ридера. Просто если это действительно так, то думаю можно будет Adobe Flash вообще удалить.
Master_Dante
11.07.2015 15:38+2Я уже удалил флеш, в браузере Edge все основные видео сервисы работают без флеша например, ютуб, вк, вести и даже первый канал. Доволен неимоверно, сколько лет он моей крови попил.
Antelle
11.07.2015 18:42Работает в основном всё везде уже и в остальных браузерах, иногда правда нужен хак с установкой iOS юзер-агента (тут подробнее про жизнь без флэша). Уже осталось не так много засранцев, до сих пор использующих флэш, не предлагая альтернативы.
VenomBlood
12.07.2015 05:31hulu, crunchyroll, amazon instant video (тут правда еще доступен silverlight), funimation(хотя часть они через hulu стримают) — конечно, «засранцев» не так много — но вот по охвату это больше половины рынка.
TheRabbitFlash
12.07.2015 15:28-1Самому Adobe выгодно, чтоб Flash был на JS. Это же профит чистейший! Флеш продолжает жить. После этого появится мобильный JS флеш ) А его хоронители молотки сломают о гвозди :)
navion
11.07.2015 16:42Песочницу оно точно обходит? Про предыдущий писали тоже самое, но он не работал.
r3L4x
11.07.2015 20:26> Affected software versions
> Adobe Flash Player 18.0.0.203 and earlier versions for Windows and Macintosh
А что насчёт бета-версии Flash 18.0.0.205?
Скачать её можно тут: labs.adobe.com/downloads/flashplayer.html
ProstoTyoma
11.07.2015 20:50В прошлой новости была строчка «UPD2: Антивирусные продукты ESET обнаруживают эксплойт как ...». А с этой уязвимостью как?
Methos
11.07.2015 23:13+1Он ещё жив?
Jodes
12.07.2015 00:43+2То что вы не признаетесь в использовании флеша, не означает что флеш умер.
Methos
13.07.2015 02:56Я уже давно не использую разные плагины от адоб в браузерах и вообще.
Только память жрут и время тратится.
Когда при каждой перезагрузке компа начало вылазить окно обновления от адоб, мне это надоело и я стёр эту фигню навечно с компа.
pdf теперь на js, видео на html5, ну а флеш встроенный в хром (с flashblock, конечно же) на крайняк для старинных сайтиков.
Хотя интересно почитать свой дневник, понадобилось всего-то 9 лет, чтобы до этого дорасти =))TheRabbitFlash
13.07.2015 11:34-5Во-первых Вам сам Flash плеер предлагал обновиться каждый раз, когда Вы перезапускали комп. Глупо после этого ругать его дырявость, когда он же Вам совершенно бесплатно предложил установить исправления. Вы сами от них отказывались.
Более того — каждое новое обновление несет в себе исправление старых косяков, которые могли крашить плагин. Вы от них отказывались и ругались на Flash плеер. Ок, я думаю тут ругаться надо на себя в первую очередь.
>>> Только память жрут и время тратится.
Время жрет кого? Ваше? Каким образом? Вы собирались пойти жене приготовить романтический ужин, но тут флеш плеер пришел и начал тратить Ваше время? )))) Ну Вы веселый человек ;)
Мне просто кажется, что Вы не умеете пользоваться компьютером. По крайней мере исходя из этого сообщения, которое тут оставили.Methos
13.07.2015 13:31Я то обновлялся. Но там не просто одна кнопка, а там окно вылазит, нужно нажать «далее», потом ещё и ещё куча кнопок нажать, и следить ещё, чтобы не подсунули какую-нибудь фигню в виду галочки «поставьте opera-браузер или т.п.», потом в конце они ещё поздравляют, а потом ещё открывают какую-нибудь страницу в браузере.
Неужели трудно обновиться тихо и незаметно, ничего не запрашивая?
Теперь они сами виноваты в том, что я не пользуюсь ихним продуктом, ибо слишком надоедливый, напоминает рекламщиков или спамеров.
Flash для меня и для всего мира умер, когда в браузере появился canvas
Сейчас любую игру, которую раньше писали во флеш, можно сделать в браузере (canvas, webgl, 3d), не используя никаких сторонних плагинов. Ну и зачем этот флеш нужен, извините?TheRabbitFlash
13.07.2015 14:31>>> чтобы не подсунули какую-нибудь фигню в виду галочки «поставьте opera-браузер или т.п.»
На странице загрузки галочка есть на счет McAffe от Intel. Это партнеры, которые финансируют некоторую часть разработки. Читающий человек снимает галочку сразу.
>>> потом в конце они ещё поздравляют, а потом ещё открывают какую-нибудь страницу в браузере.
Это сделано для того, чтоб собрать статистку прехода на новую версию флеш плера.
>>> Теперь они сами виноваты в том, что я не пользуюсь ихним продуктом
Т.е. Вы решили не покупать айфон и верите, что теперь, наконец-то, апл разорится? ;)
>>> Сейчас любую игру, которую раньше писали во флеш, можно сделать в браузере (canvas, webgl, 3d), не используя никаких сторонних плагинов. Ну и зачем этот флеш нужен, извините?
Канва и вебгл — дико тормозят. Много у кого (кто в играх донатит) просто не работает. Пройдет еще года 2-3, пока баланс не перевалит сильно больше в сторону canvas и еще года полтора-два после этого в сторону webgl.
Вы видели WebGL вприцнипе? Я видел… простые «поделки» заставляют закипать процессор. Работает в мобильном браузере? Да, у многих работает. Но мало кто играет — для этого есть google play и appstore.
VEG
13.07.2015 14:42+2На странице загрузки галочка есть на счет McAffe от Intel. Это партнеры, которые финансируют некоторую часть разработки. Читающий человек снимает галочку сразу.
То есть они пользуясь неопытностью или невнимательностью пользователя пытаются подсунуть ненужный ему продукт во время простого обновления Flash, который сам по себе уже в принципе не нужен… Проще от него самого избавиться, чем при каждом обновлении проверять свою внимательность и играть в игру «не добавили ли они там ещё каких-нибудь галочек?».
Это сделано для того, чтоб собрать статистку прехода на новую версию флеш плера.
Обновлятор скачивает свежую версию исполняемых файлов, и самого факта обращения за этими бинарниками в принципе достаточно для сбора подобной статистики. Если нужно собрать информацию об успешных установках — по окончанию обновлятор может сам дёрнуть нужный URL для того, чтобы сообщить об успехе или провале, не беспокоя пользователя открытием бесполезных страниц.
VEG
13.07.2015 13:34+2Вообще мне не ясно, почему Adobe так и не научила свой Flash обновляться полностью автоматически, без участия пользователя. Родители как-то пожаловались, что Youtube перестал работать. Оказалось, что Firefox заблокировал Flash из-за того, что тот не обновлён. Мне показалось проще вообще удалить Flash с их компьютера, чем объяснять процедуру обновления со снятием галочки-обманки «McAfee Security Scan Plus» и т.д. И таки не жалуются, все популярные сайты отлично работают без Flash.
На самом деле, не глядя на ужасно неудобную процедуру обновления, моим родителям даже просто не хватило бы прав на ручное обновление Flash. Браузер обновляется сам с использованием соответствующего сервиса, Windows тоже обновляется сама, а у учётных записей родителей и племянниц нет админских прав во избежание установки разной гадости. Если чего эдакого и запустят, то оно максимум что испортит — это их ограниченную учётную запись. Поэтому когда я приезжаю в гости, могу спокойно работать в своей админской учётке.
Было бы хорошо, если бы Adobe научила Flash обновляться полностью автоматом и без вопросов, причём проверка наличия обновления должна делаться не только при перезагрузке компьютера, но и просто ежедневно, потому что у многих пользователей компьютеры неделями не перезагружаются (у меня даже родители, далёкие от IT, никогда не выключают свой PC). Хорошо бы в таком случае просто вывести уведомление, что скачался новый Flash и чтобы обезопасить компьютер от опасности, попросить пользователя просто перезапустить браузер для завершения установки нового Flash.navion
13.07.2015 14:17Они недалеки от этого, Flash Player для IE в Windows 8 сам обновляется через Windows Update.
А последняя версия под NPAPI даже перезапуск браузера не требует, осталось сделать автоапдейтер как у Adobe Air, который предлагает обновиться при каждом запуске приложения.VEG
13.07.2015 14:29В принципе, если WebAssembly будет доведён до релиза, будет быстрым, попадёт во все браузера, и Flash будет собран под него, то необходимость в отдельном плагине полностью отпадёт даже в запущенных случаях с бородатыми сайтами, которые до сих пор опираются на Flash.
sergey-b
12.07.2015 01:01+4Хорошо бы разработчикам Adobe Flash Player реализовать нормальную процедуру обновления. А то сейчас обновление плагина — это целая спецоперация.
TheRabbitFlash
12.07.2015 14:29Давайте Ваши развернутые предложения. Донесу до продакт менеджера послание.
sergey-b
13.07.2015 00:43+2Почему вы просите развернутые предложения? Полагаете, мне заняться больше нечем, как делать за адоб его работу?
Передайте им краткие тезисы. Пусть разворачивают сами.
1. Не удалять инсталятор в случае ошибки.
2. Проверять окружение перед установкой (свободное место, сетевой доступ, права администратора, версию ОС и т. п.)
3. Выдавать внятные сообщения об ошибках.
4. Сделать оффлайн инсталятор.
5. Не предлагать McAffee.
Судя по тому, как работает установка флэша, все сотрудники адоб, которые принимают решения, работают с выключенным файерволлом и с правами администратора. Неудивительно, что у них в продуктах полно дырок.TheRabbitFlash
14.07.2015 10:51Во время установки флеш плеера надо тыкнуть первую галочку «Разрешить Adobe устанавливать обновления (рекомендуется)».
В этом случае критические обновления приходят без информирования пользователя.sergey-b
14.07.2015 16:54-2Во-первых, это далеко не всегда работает, а во-вторых, я имею право знать, какое приложение, когда, что и зачем качает, потому что я плачу за интернет, и я забочусь о сохранности своих личных данных. Если у меня с компьютера кто-то стырит мои персональные данные, адоб мне убытки компенсировать не будет.
Интересно, а стоимость трафика адоб учитывает, когда производит автоматические обновления?
Wedmer
14.07.2015 13:44Раньше она была, обновления выкачивались сами. Причины, почему они решили заставить всех качать обнову вручную, мне не известны.
TheRabbitFlash
12.07.2015 14:37-1Мне другое интерсно. Вот Eset часто всем рассказывает, что Flash опасный.
А почему за себя молчат, что сотрудники Google Project Zero сумели получить полный доступ к компьютеру жертвы, у которого установлен Eset Nod32? Соринку в чужом глазе видим, а бревно в своем нет? Ну… Ну…navion
12.07.2015 15:57+2Они писали об этом тут:
habrahabr.ru/company/eset/blog/261059TheRabbitFlash
12.07.2015 17:20-3Что они ответили? Типа «да, нашли»? Про флеш они красиво пишут много страшных слов простому посетителю. Чтоб стало максимально страшно.
А то, что нашли у них — позволяет ставить любые приложения и получать неограниченный доступ к системе. Т.е. они о других продуктах пишут в духе антирекламы, а о своих пишут так, как будто ничего страшного.
В общем, что хочу сказать… У всех есть проблемы и дыры в безопасности флеша менее страшны, чем в антивирусах. Флеш можно и удалить. А антивирус никто удалят не будет. И получается так, что кто должен защищать — сам является опасным. Вот о чем надо писать везде. А не про флеш. С флешом все ясно и так. В прошлый раз кто-то красиво сказал… «Надо ли отказаться от айфона, чтоб Apple умер?» :Dnavion
12.07.2015 18:03+1Антивирусов много разных, кто-то вообще обходится только разграниченим прав и AppLocker. А Flash Player один и для него каждый месяц публикуют CVE с критическими уязвимостями.
TheRabbitFlash
12.07.2015 21:03Это кому-то мешает жить? У меня на компе много ценной информации. Почему её не украли с помощью флеша? может быть потому, что:
— она никому не нужна?
— не все так легко, как пишут в новостных сводках?
— почти все CVE невозможно использовать?
На кого направлен взлом флеш плеера и где все эти жертвы, которые боятся, что у них украдут исходник селфи для аватары вконтакте?navion
13.07.2015 11:38+2Как минимум угонять пароли от всега и разошлют спам от моего имени. А могут поставить кейлоггер и увести деньги с кредитки или опустошить банковский счёт.
TheRabbitFlash
13.07.2015 12:16navion, поверьте человеку, который часто чистит компы своим всем друзьям. Все кейлоггеры, софт для воровства паролей и прочий зловред лезет на комп жертвы не через Flash Player, а через скачивание мусора, который позволяет скачать другой мусор.
Типичные ссылки типы «Скачайте этот загрузчик для установки игры». Вы даже себе не представляете количество людей, которые качают mp3 файлы в архивах вида «весь-альбом.mp3.exe».
Проблема не во флеше, а в людях, которые не умеют пользоваться интернетом и браузером. У меня, кстати, со счета webmoney один раз украли около 3000 рублей. Полтора года назад… И случилось это потому, что Nod32 (купленный официально) пропустил вирус, скачанный женой. Она просто скачала сборник журналов в pdf. «Ну просто надо было запустить приложение, которое извлекало нужный журнал». Вот и все. Виноват ли Flash плеер в том, что у пользователя кривые руки и он как ребенок тянет к себе всё без разбора?navion
13.07.2015 13:28+1Про людей согласен, но благодаря флешу даже скачивать ничего не нужно — достаточно зайти на зараженную страницу и на компьютере появится зловред в юзерспейсе.
Запуск плагина по требованию мог бы спасти, но в реальной жизни оно работает через раз, а на сайтах вроде d3 придётся создавать правило для каждого подсайта.TheRabbitFlash
13.07.2015 13:58-1Да елки-палки… одно и то же…
Скажу прямым текстом. Покажите мне того человека, у кого через с помощью флеш плеера что-то было украдено? И что это была за информация? Я правда не видел таких, зато видел сотни людей, кто опасается флеш плеера :) Нет, ну правда :) Не надоели ли? Это как доходяге без руки каждый раз говорить «аа у тебя руки нет»…
Я лишь могу с работы привести примеры, когда параноики начитаются аналогичных статей от различных представителей антивирусных компаний и удаляют флеш плеер навсегда раз в месяц. Каждый божий месяц они его удаляют. Сначала ставят и потом удаляют. При этом ни разу у них ничего не украли вообще.VEG
13.07.2015 14:11+1Может быть у этих людей и не было заражений по той причине, что они вовремя обновляются или заранее затыкают потенциально проблемные места.
В первый и в последний раз я заражался вирусами через подобные уязвимости в 2002-2003 году. Это был обычный необновлённый IE6. Я даже вычислил конкретную страничку, при заходе на которую в корне диска появлялся файл 1.exe, запускался, и начинал скачивать другие исполняемые файлы и запускать их. Тогда мне стало понятно, зачем нужно обновляться. А ещё через несколько лет я уже сам игрался с такой уязвимостью, ради интереса сделал курсор, который при рендеринге (например, на страничке браузером, или при заходе проводником в расшаренный каталог с этим файлом) открывал полный доступ к диску C через сеть. И тогда мне стало ещё понятнее, насколько эти уязвимости опасны и как просто их может быть использовать.
По работе иногда приходилось вычищать вирусы с сайтов всевозможных мелких магазинов. Часто там просто встраивают какой-то iframe размером 1x1 пиксель, а там уже внутри его какой-то код смотрит, что эдакого вредного можно сделать, какие уязвимости в браузере можно использовать и т.д. Если бы такой метод заражения новых машин для очередного ботнета не работал — его бы не пытались использовать везде и всюду.
navion
13.07.2015 15:53Вы предлагаете мне самому потерять деньги, чтобы поверить в CVE?
TheRabbitFlash
13.07.2015 16:37Шанс потерять деньги на улице раз в 100500 выше, чем сделать это из-за Flash Player. Значит ли это, что надо сидеть дома? Не преувеличивайте ущербность плеера.
Не нравится флеш плеер — удалите его. Это справедливо :) Но обсасывать его ошибки смысла не вижу, т.к. ошибок не совершает тот, кто ничего не делает.
А учитывая, что FP бесплатен — вопрос вообще теряет актуальность. Ставить его никто не заставляет. У меня с карточки одного банка ушло в никуда примерно 20 баксов (валюта была другая). Оказалось, что в банке просто это бывает — персонал тырит бабки. Те, кто жалуются — им возмещают. Кто нет или не подозревают — наверняка будут ругать флеш плеер после этой новости.VEG
13.07.2015 16:54+1Эта новость информирует об известной публично уязвимости, которая была не закрыта, чтобы каждый пользователь мог предпринять какие-то меры. В том и польза подобных новостей.
Люди высказывают своё мнение — для этого и созданы комментарии. Вы же не прошли мимо, а начали «оправдывать» Flash. Точно так кто-то его ругает. Бесплатность Flash никоим образом не обязывает всех говорить о нём только хорошее.TheRabbitFlash
13.07.2015 17:18Я пришел не оправдывать флеш, ведь он как решето и я сам это вижу. А сообщить людям, что есть больше серьезные проблемы в других софтах. Но все кидаются на флеш лишь потому, что обсирать флеш — это мейнстрим.
VEG
13.07.2015 14:22+1— она никому не нужна?
По-моему эти уязвимости чаще пытаются использовать для пополнения рядов ботнетов новыми заражёнными компьютерами. Ценная информация редко встречается на компьютерах неопытных пользователей, разве что если кто-то заинтересовался именно вами и хочет получить доступ к вашей информации. Но не стать частью ботнета — тоже важная задача. Это как сифилис — подцепив, жить можно, но это очень неприятно.
— почти все CVE невозможно использовать?
Демонстрация предыдущей уязвимости часто могла запустить калькулятор, а значит выполнить и любые другие команды.
Deno95
12.07.2015 16:51За последних пол года слишком много было опубликовано уязвимостей 0day. (и это только поверхность того что может видеть обычный пользователей).
TheRabbitFlash
12.07.2015 20:56+2Интересно, а если не устраивает кого-то флеш, то зачем эти люди продолжают писать во всех темах, что они его удалили?
23rd
13.07.2015 13:21+3«Я бежала за Вами три дня и три ночи, чтобы сказать насколько Вы мне безразличны...»
TheRabbitFlash
14.07.2015 10:18Ага… особенно доставляет, что тыкают все во флеш пальцем. А самая «дырявая» система до сих пор iOS. По данным Symantec за прошлый год 84% всех уязвимостей в мобильных устройствах пришлось на iOS. Но флеш конечно же плохой :D
TheRabbitFlash
14.07.2015 10:27Примечательно то, что Adobe потребовалось 48 часов, чтоб закрыть эту 0day уязвимость. Ровно столько потребовалось фейсбуку, чтоб устранить их косяк с авторизацией пользователя в на своем сайте. А это как бы уже говорит о том, что не такие уж и олени эти адобы
Wedmer
14.07.2015 13:52Все знают, что не такие уж и олени они. Просто политика компании не всем нравится. Ну и то, что вам эта контора небезразлична, все тоже поняли.
Disasm
/s/отключить/удалить/