Исследователи информационной безопасности из «Лаборатории Касперского» Костин Раю (Costin Raiu) и Антон Иванов обнаружили критическую уязвимость в Adobe Flash Player. Уязвимы версии программного Adobe Flash Player 21.0.0.242 и более ранние версии для платформ Windows, Mac, Linux и Chrome OS.

По словам исследователей, найденная ими уязвимость с весный текущего года эксплуатируется APT-группой киберпреступников StarCruft. Хакеры продолжают вести две операции по взлому — они получили названия Operation Daybreak и Operation Erebus. Первая из них была начата в марте 2016 года, в ее ходе использовался ранее неизвестный 0day-экпслоит для Adobe Flash Player, а целью атаки были высокопоставленные жертвы. В ходе второй злоумышленники применили эксплоит для уязвимости CVE-2016-4117, существует вероятность и использования ими еще одного эксплоита для уязвимости нулевого дня CVE-2016-0147, патч для которой был выпущен в апреле.

Жертвы ScarCruft были обнаружены в ряде стран, в том числе в России, Непале, Южной Корее, Китае, Индии, Кувейте и Румынии.

Выпуск патча для обнаруженной экспертами уязвимости запланирован на четверг, 16 июня. Тогда же исследователи обещали представить больше информации об обнаруженных проблемах безопасности в Adobe Flash Player.

В качестве временной меры до выхода исправления эксперты Positive Technologies рекомендуют пользователям отключить Adobe Flash в браузерах, а при необходимости его использования делать это только для доверенных сайтов.

Для предотвращения последствий атаки на платформе Windows можно использовать Enhanced Mitigation Experience Toolkit (EMET).

Эксперты Positive Technologies рекомендуют пользователям корпоративных ИТ-систем применять специализированные средства противодействия сложным атакам с использованием новых уязвимостей. К примеру, система MaxPatrol SIEM уже сейчас в состоянии обнаруживать указанную уязвимость Adobe Flash Player:



В MaxPatrol SIEM используется технология Scanless Vulnerability Detection, которая позволяет определить актуальную картину уязвимостей без необходимости повторного сканирования. Достаточно просто обновить базу уязвимостей.

Кроме того для предотвращения проблем, связанных с эксплуатацией указанной уязвимости, можно использовать систему контроля защищености и соответствия стандартам MaxPatrol 8.

Поделиться с друзьями
-->

Комментарии (24)


  1. andreili
    16.06.2016 16:37
    -1

    Flash Player?
    Не, не слышали…
    Уже года 3 не пользуюсь им вообще, после начала волны новостей с его уязвимостями.


    1. solver
      16.06.2016 16:57
      -1

      >Уже года 3 не пользуюсь им вообще, после начала волны новостей с его уязвимостями.

      Главное, все делать во время…


      1. TheRabbitFlash
        16.06.2016 17:01
        +5

        image


        1. Sirion
          16.06.2016 18:13
          +2

          А существует версия этой нескучной картинки, от которой Дитмар Эльяшевич не ворочается беспокойно в гробу?


          1. TheRabbitFlash
            16.06.2016 18:28

            Взял первую попавшуюся


        1. solver
          17.06.2016 11:10

          Это точно мне картинка?


          1. TheRabbitFlash
            17.06.2016 11:28

            Нет, она была в адрес andreili :) И для других, кто «Я сую свой нос во все новости про флеш лишь потому, что его судьба меня перестала интересовать еще N-лет назад».


    1. Alexey2005
      16.06.2016 19:32

      Куча крупных сервисов его использует, особенно стриминговые. Твитч, к примеру. И здесь заменить флеш совершенно нечем — HTML5-технологии всё ещё совершенно непригодны для стриминга. Ещё лет пять стримерам сидеть на флеше без вариантов.


      1. justabaka
        16.06.2016 21:48
        -2

        Какие это там технологии непригодны для стриминга? Сущий бред, технологии что со стороны стримера (взять аудио+видео, маленько пожать и отправить), что для конечного пользователя (HLS) абсолютно идентична. При этом длина и «живость» трансляции никакой роли вообще не играет: многие ТВ-сервисы именно в этом виде отдают как прямой эфир, так и архив своим пользователям, ибо он кроссплатформенный и понимается огромным количеством устройств и плееров.

        Кстати, вот вам сюрприз: и на youtube, и на твитче используется HLS. Твитч просто (пока еще?) не осилил полный переход.

        P.S. http://gaming.youtube.com/live


        1. Alexey2005
          16.06.2016 23:03
          +2

          Часть видео с gaming.youtube.com/live открывается, а на некоторых — "Формат видео или тип MIME не поддерживаются". Это Firefox 47.
          И на reddit'е представители twitch примерно о том же пишут — HLS доступен, но у него проблемы с совместимостью и хреновая оптимизация, из-за чего HLS жрёт слишком много процессорных ресурсов и даёт слишком большие задержки.
          Picarto.tv (стриминг для художников) тоже без flash не работает, кстати (и вот как они это объясняют). Так что флешу жить и жить ещё.


          1. justabaka
            17.06.2016 17:12
            +1

            Что такое «оптимизация у HLS» и насколько она хреновая, в чем измеряется хреновость? Без конкретики это все болтология на уровне «я слышал, игрушка XXX тормозит». Далее, при нормальной логике плеера задержка составляет длину сегмента, которая обычно выставляется в 5-10 секунд, но можно ведь поставить и поменьше. Это не PS4 Remote Play и не Steam Link, задержка всегда есть и будет, а на чемпионатах она еще и настраивается на несколько минут по очевидным причинам.

            А на реддите в указанной теме годичной давности не ищется ни одна из указанных проблем. Более того, кто-то даже пишет, что с HLS его ноутбуку становится лучше :) Да и по личным наблюдениям на Youtube все начинает воспроизводиться гораздо быстрее и с меньшими ресурсозатратами, особенно, если заходить под Linux.

            Просто кто-то делает (google), а у кого-то всегда находятся причины не делать, деньги же и без этого идут.


            1. solver
              22.06.2016 11:51

              > Просто кто-то делает (google), а у кого-то всегда находятся причины не делать, деньги же и без этого идут.

              Это вот кстати хороший показатель, почему flash популярен и почему html5, за столько лет развития, еле еле смог заменить видосики на ютубе.


      1. Tester007
        17.06.2016 12:24

        Узнайте тогда о хитбоксе (и ютубе, как уже подметили). На нем, кстати, процессор грузит намного меньше чем на твиче, хотя на обоих HLS.
        Так что HLS давно уже не проблема, проблема в том, что крупные сайты затягивают переход с флэша.


  1. TheRabbitFlash
    16.06.2016 16:58
    +2

    image


  1. amarao
    17.06.2016 11:54

    Почему Адоби всё время ломает ABI у флеш-плеера? Что ни неделя, то смена функции для выполнения кода в целевой системе. Сделали бы стандартный exec() да и всё.


  1. juwagn
    17.06.2016 12:25

    Интересные нюансы, в IE edge 12 и Chrome как известно, поддержка флэша встроенная.
    Но те не обновляются автоматически флэшевской службой обновлений, а необходимо эти браузеры обновить отдельно, чтобы модуль встроенного флэша также обновился.
    Для IE edge вовсе пришлось перегрузиться, чтобы показало новую версию
    www.adobe.com/ru/software/flash/about
    На Файрфоксе со своим Npapi это произошло в первую очередь.
    Очень настоятельно рекомендую на Файрфоксе использовать флэшблокер и разрешать отдельные флэш-элементы по отдельности. Во первых экономит трафик, ресурсы, ибо рекламу не приходится разрешать, и вдовесок вероятность, что разрешённое видео будет содержать эксплоит, крайне низка.


  1. TheRabbitFlash
    22.06.2016 10:38

    На хабре стали часто мелькать новости, что «появился вымагатель на JavaScript». Это ответ для тех, что будет, если исчезнет флеш.


    1. Tester007
      22.06.2016 21:11

      Так он же не в браузере файлы шифрует (по крайней мере не без спроса доступа к файлам). Просто JS уже давно вышел из браузера. А так то и на AIR можно написать шифровальщик. Так что смерть флеша никаким образом не связана с появлением шифровальщиков на JS.


      1. TheRabbitFlash
        22.06.2016 23:05

        О том и речь. Пользователь получит свой вирус либо через браузер напрямую, либо без браузера. Пока все кричат слева — воры лезут справа.


        1. Tester007
          23.06.2016 08:21

          В этом и вся разница. В первом случае пользователь ничего не контролирует. Во втором запускает вирус сам.


          1. TheRabbitFlash
            24.06.2016 13:11

            Да ну? Может это почитаете? http://news.softpedia.com/news/html5-ads-aren-t-that-safe-compared-to-flash-study-reveals-505597.shtml


            1. Tester007
              24.06.2016 16:49

              И что? Никто и не отрицает что в браузерах тоже появляются 0day уязвимости, но что-то не видно на Хабре статей каждую неделю об очередной 0day в Хроме.


              1. solver
                24.06.2016 23:26
                +1

                Так об этом и речь.
                Дыр везде полно, на флеше свет клином не сошелся. Но почему-то активно полоскают только флеш)


              1. TheRabbitFlash
                25.06.2016 00:50

                Так это же хабр. Если кого-то убьет током из флеш-накопителя, то тут обязательно приплетут адоби.