Så er Adobe på skafottet igen. Nu er det Adobe Flash, nærmere bestemt version 9.0.124.0, som kan udnyttes når den behandler Shockwave filer. Et fuldendt angreb tillader afvikling af ondsindet kode på niveau med brugeren af computeren.
Der var engang en joke om Microsoft som bilproducent. Den var meget sjov. Med Adobes historik kunne jeg godt tænke mig at se, hvordan deres historie ville blive vinklet. Måske ville temaet være køkkenudstyr - for deres software minder efterhånden om et dørslag, sigte eller si.
I det aktuelle tilfælde er et besøg på en webside med en specielt udformet Shockwave Flash fil nok til at udnytte sårbarheden. I praksis sker det ved, at et bestemt objekt oprettes og efterfølgende destrueres sammen med alle tilknyttede referencer. Men en reference kan bibeholdes til at pege på objektet, som nu eksisterer i et ikke initialiseret hukommelsesområde. Det kan herefter udnyttes til afvikling af ondsindet kode.
Det kritiske er, at Flash er en standard som benyttes overalt i dag, hvor man ønsker at vise beriget multimedie indhold. Flere websites er opbygget udelukkende i Flash - og flere bannerreklamer er gået i samme retning. Yderligt er der Flash plugins til bredt udvalg af browsere og platforme - herunder Windows, Linux og MacOS.
På iDefense Labs hjemmeside er der en udbydende forklaring på, hvorfor de karakteriserer denne sårbarhed som HIGH. En lige så skræmmende information er, at den første dialog startede den 25. august 2008. Herunder ses den timeline som iDefense Labs angiver:
08/25/2008 - Initial Contact
09/22/2008 - PoC Requested
11/05/2008 - PoC Sent
11/06/2008 - Clarification requested
12/05/2008 - Clarification Sent
12/07/2008 - Additional Clarification Sent
02/19/2009 - Draft bulletin received
02/24/2009 - Coordinated Public Disclosure
Det tog med andre ord seks måneder fra første kontakt til koordineret information kom ud. Det kan derfor undre, at Adobe skal bruge yderligere tid til at få et fix smidt på nettet. Man kan kun håbe på, at der ikke har siddet dygtige kinesiske hackere og fundet den samme sårbarhed. De vil givet vis reagere noget hurtige på at få et exploit ud på nettet.
Tanker, betragtninger og holdninger i forbindelse med it-sikkerhed med fokus på sårbarheder, exploits, malware, hacking, cracking, tools, trends og strategier. Bloggens indhold er subjektiv og kan ikke lægges andre til last.
Opslag
Blog-arkiv
-
▼
2009
(34)
-
▼
februar
(14)
- LorteMail - medaljen har to sider
- Englands nationale lotteri website hacked
- Mere sårbart Adobe software - denne gang i Flash
- Wikileaks: Skype VoIP i Asterisk open source PBX s...
- EU vil undersøge VoIP aflytningsteknikker
- Humor: New Stupid Piece Of Shit
- Ny kritisk Adobe Reader/Acrobat sårbarhed
- Krisen truer også it-sikkerheden
- Kaspersky rydder op
- Tre på stribe
- Sikkerhedsfirmaer med sløset web-sikkerhed
- Begrænsede brugerrettigheder afhjælper sårbarheder
- Zombies i området - LØB!
- Malware og angrebssites klar til Valentinsdag
-
▼
februar
(14)
Offentlige links jeg benytter:
- robtex
- SANS Internet Storm Center
- XSSed
- Microsoft Sysinternals
- Wired News
- Security Focus
- Hackin9.org
- The Register - Security
- Secunia Advisories
- Packet Storm
- The Dark Visitor
- Dancho Danchev's Blog
- ThreatExpert Blog
- Malware Domain Blocklist
- The Full-Disclosure Archives
- Offensive Computing
- Shadowserver Foundation
- Astalavista Security News
- 1337 day