18 chyb v Macromedia Flash, oprava je na jedinou

Čerstvá oprava pro Flash řeší chybu, která umožní přetečení bufferu a spuštění vlastních příkazů, zneužitelný je Internet Explorer i Netscape, Windows i Unix. Další nalezené chyby se zatím řeší.

Macromedia Flash je mimořádně rozšířeným doplňkem internetových prohlížečů, k jeho velkému rozšíření přispěla podpora téměř všech platforem operačních systémů a současně velmi dobrý bezpečnostní kredit. Ve Flashi prostě nebyly odhaleny vážné bezpečnostní chyby a ty co se našly, nebyly nějak významné.

Společnost eEye Security má na svém kontě již jednu nalezenou chybu ve Flashi, nyní k nim ale přidá několik dalších. Nově nalezená chyba se týká možnosti vhodné úpravy hlavičky finálního SWF souboru tak, aby do dekodéru Flashe přišlo více bajtů než čeká a došlo tak přetečení bufferu a následně možného spuštění vlastního kódu útočníka. Chybu nelze zneužít v rámci návrhu Flash animací, chyba prostě spočívá v tom, že přehrávač Flashe předpokládá, že dostává korektní vstupní data vytvořená programem Flash.

eEye spolupracuje s Macromedií na odstraňování chyb, Macromedia tak již vydala svou vlastní opravu přehrávače, aktualizovaný přehrávač má číslo verze 6.0.40.0. eEye nicméně ve vlastním bezpečnostním upozornění uvádí, že souběžně s touto chybou našel ještě dalších 17 chyb, na které zatím oprava není k dispozici. Jak bude Macromedia zveřejňovat opravy, budou tak postupně zveřejňovány i popisy nalezených chyb. Doufejme, že tato byla ta nejvážnější z nich, a proto dostala při řešení prioritu.

Určitě si přečtěte

Články odjinud