Новые уязвимости Flash Player эксплуатируются in-the-wild

    Компания Adobe выпустила очередное обновление APSB15-03 для своего проигрывателя Flash Player, которое исправляет в нем критическую 0day уязвимость. Уязвимость с идентификатором CVE-2015-0311 использовалась атакующими для проведения атак drive-by download, т. е. скрытной установки вредоносного ПО. Для этого использовался набор эксплойтов Angler Exploit Kit, который содержал в своем арсенале эксплойт для этой уязвимости. Антивирусные продукты ESET обнаруживают различные модификации этого эксплойта как SWF/Exploit.CVE-2015-0311.A.



    На прошлой неделе компания перевыпустила обновление APSA15-01, а также, несколько дней назад, выпустила новое обновление APSA15-02. Все эти обновления закрывают эксплуатируемые злоумышленниками уязвимости.

    We are aware of reports that this vulnerability is being actively exploited in the wild via drive-by-download attacks against systems running Internet Explorer and Firefox on Windows 8.1 and below.

    Уязвимости очень серьезны, поскольку позволяют атакующим удаленно исполнять код через уязвимую версию Flash Player в новейшей версии Windows 8.1 с Internet Explorer 11.

    Мы рекомендуем регулярно обновлять используемый вами Flash Player. Такие браузеры как Internet Explorer 10 & 11 на Windows 8/8.1 и Google Chrome обновляют свои версии Flash Player автоматически. Для IE см. обновляемое Security Advisory 2755801. Проверьте вашу версию Flash Player на актуальность здесь, ниже в таблице указаны эти версии для различных браузеров.



    image
    be secure.
    ESET NOD32
    0.00
    Company
    Share post

    Comments 25

      +2
      Спасибо, обновился. Странно что стандартный апдейтер адоба не срабатывает, даже когда сегодня днем была перезагрузка системы. Хотя каждый раз спрашивает при установке: «как вам ставить апдейты?» — автоматичски или — только уведоление. Я всегда выбираю уведомление.
        +6
        Вот почему Flash в моем Firefox выключен и включается только при критической необходимости, после чего сразу же выключается.
          –2
          А как в FF просматривать видео(ютуб) без флеша? Плагин? Настройки какие? В стандарте предлагает только включить плагин для просмотра(win 8.1)
            +6
            Ем… так в Firefox уже не знаю сколько есть поддержка mp4, а ещё много видео в YouTube параллельно конвертируется в webm, который вообще изначально поддерживался.
            Не знаю о каком стандарте речь, по-моему они давно по умолчанию сделали HTML5. В настройках если поставить активацию при необходимости — страница будет знать, что Flash в целом доступен, если же полностью запретить — тогда по любому включится HTML5 без вариантов.
            И да, у меня Linux — здесь Flash синоним боли и страданий, без него живется гораздо проще и безопаснее.
              +2
              Знал о html5, но как-то привык к флешу. В общем, для пользователей винды, наберите в гугле «youtube html5» клацните по первой ссылке, страничка — жмите кнопку «Использовать HTML5...». Отключаем или удаляем сам флеш плагин — все ок. Я даже не знаю почему этого не сделал раньше, лень?
                0
                Только вот встроенное youtube на сторонних сайтах все равно просит флеш (. И это, по моему, проблема ютуба, хотя не уверен.
                  +1
                  Совсем не требует.
                0
                у меня Linux — здесь Flash синоним боли и страданий

                Но ведь в хроме флеш из коробки.
                  –1
                  1) Я писал в Firefox, при чем тут Chrome?
                  2) Chrome это проприетарная поделка Google, у меня стоит Chromium для отладки и Firefox Nightly как основной браузер, в Chromium его из коробки нет
                    –2
                    1) Утверждение было «Linux — здесь Flash синоним боли и страданий». А в linux есть хром. Соответственно в хроме должны быть танцы с флешем. Но их нет.
                    2) То, что Вы не используете хром, не означает что его не используют другие.
              0
              А я в Firefox использую плагин Flashblock.
              Он позволяет включать одним кликом флеш только тогда, когда он реально нужен, и только в нужном месте.
                0
                Это так часто что нужно ещё расширение городить?
                  0
                  Этот плагин по умолчанию блокирует все флеш объекты на страницах.
                  Если какой то из них требуется запустить, например аудио/видеоплеер, достаточно кликнуть по значку плагина на этом месте.
                  По сути — пользователь сам выбирает, какие флеш объекты запускать.
                    0
                    Внезапно: Расширения-Плагины-Спрашивать про активацию
                      0
                      Вдвойне внезапно: так удобнее :)
              0
              Спасибо за информацию, а то я думал — почему после обновления хрома, он по умолчанию начал блокировать флеш плеер на сайтах.
                0
                update-flashplugin-nonfree в Debian Wheezy упорно не хочет ставить последнюю версию. Ждем-c.
                  0
                  Обновление заработало:
                  # update-flashplugin-nonfree --status
                  Flash Player version installed on this system  : 11.2.202.440
                  Flash Player version available on upstream site: 11.2.202.440
                  
                  +5
                  Вообще, я не очень люблю Apple. Но я ей искренне благодарен за вбивание большого жирного гвоздя в гробик флеша. Просто вот низкий поклон и спасибо.
                    +1
                    Только вот самому флешу на этот гвоздь немножко наплевать.
                      +4
                      К счастью, с каждым месяцем, становится всё больше наплевать на сам флеш.
                        +1
                        Ну, если только трубу смотреть, то да. К сожалению, не у всех потребности во флеше этим ограничиваются.
                          0
                          Ну, я ж говорю, с каждым месяцем сайтов, которые не хотят иметь в качестве своих пользователей яблоководов, становится всё меньше. За это яблоку спасибо.
                    +1
                    Не зря в Safari есть возможность очень удобно контролировать доступ веб-страниц к flash-у. После текущего ляпа сделал доступ по запросу. Youtube работает без проблем на html5
                      +5
                      Да блин, когда оно отвалится уже, флеш себя изжил уже давно…

                      Only users with full accounts can post comments. Log in, please.