В Adobe Flash Player обнаружена очередная критическая уязвимость

    Компания Adobe выпустила второе за неделю уведомление безопасности APSA15-04, которое посвящено критической RCE уязвимости CVE-2015-5122. Как и ее предшественница, эта уязвимость позволяет удаленно исполнять код в популярных браузерах и обходить механизм sandbox. Эксплойт для этой уязвимости также находился в архиве с утекшими данными Hacking Team. Рабочая версия эксплойта уже размещена в сети тем же автором, который ранее публиковал эксплойт для CVE-2015-5119.



    Существует серьезная опасность встраивания этого 0day эксплойта в популярные наборы эксплойтов для установки вредоносных программ на полностью обновленные up-to-date версии Windows, при чем это может быть сделано в самое ближайшее время. Эксплойт для прошлой 0day уязвимости Flash Player CVE-2015-5119 за несколько дней был адаптирован для использования сразу в шести наборах эксплойтов.

    CVE-2015-5122 присутствует в версиях Flash Player для Windows, OS X и Linux. Компания собирается закрыть эту уязвимость завтра, 12 июля.


    Рис. Часть кода эксплойта Flash Player, которая специализируется на создании процесса в 32-битной версии Windows, после успешной эксплуатации уязвимости.

    Мы настоятельно рекомендуем пользователям отключить Flash Player для используемого браузера до выхода исправления со стороны Adobe. Инструкции по этому процессу можно найти здесь.

    image
    be secure.
    ESET NOD32
    Company
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 53

      +19
      /s/отключить/удалить/
        +1
        Правильно ли я помню, что в следующей версии FireFox обещали flash плеер на JS добавить для просмотра роликов, на манер JS PDF-ридера. Просто если это действительно так, то думаю можно будет Adobe Flash вообще удалить.
          +2
          Я уже удалил флеш, в браузере Edge все основные видео сервисы работают без флеша например, ютуб, вк, вести и даже первый канал. Доволен неимоверно, сколько лет он моей крови попил.
            0
            Работает в основном всё везде уже и в остальных браузерах, иногда правда нужен хак с установкой iOS юзер-агента (тут подробнее про жизнь без флэша). Уже осталось не так много засранцев, до сих пор использующих флэш, не предлагая альтернативы.
              0
              hulu, crunchyroll, amazon instant video (тут правда еще доступен silverlight), funimation(хотя часть они через hulu стримают) — конечно, «засранцев» не так много — но вот по охвату это больше половины рынка.
              0
              а, например, pandora и netflix вещают в html5 только для избранных…
                –1
                Самому Adobe выгодно, чтоб Flash был на JS. Это же профит чистейший! Флеш продолжает жить. После этого появится мобильный JS флеш ) А его хоронители молотки сломают о гвозди :)
              0
              Песочницу оно точно обходит? Про предыдущий писали тоже самое, но он не работал.
                0
                > Affected software versions
                > Adobe Flash Player 18.0.0.203 and earlier versions for Windows and Macintosh
                А что насчёт бета-версии Flash 18.0.0.205?
                Скачать её можно тут: labs.adobe.com/downloads/flashplayer.html
                  0
                  В прошлой новости была строчка «UPD2: Антивирусные продукты ESET обнаруживают эксплойт как ...». А с этой уязвимостью как?
                    0
                    SWF/Exploit.Agent.IG.
                    +1
                    Он ещё жив?
                      +2
                      То что вы не признаетесь в использовании флеша, не означает что флеш умер.
                        0
                        Я уже давно не использую разные плагины от адоб в браузерах и вообще.

                        Только память жрут и время тратится.

                        Когда при каждой перезагрузке компа начало вылазить окно обновления от адоб, мне это надоело и я стёр эту фигню навечно с компа.

                        pdf теперь на js, видео на html5, ну а флеш встроенный в хром (с flashblock, конечно же) на крайняк для старинных сайтиков.

                        Хотя интересно почитать свой дневник, понадобилось всего-то 9 лет, чтобы до этого дорасти =))
                          –5
                          Во-первых Вам сам Flash плеер предлагал обновиться каждый раз, когда Вы перезапускали комп. Глупо после этого ругать его дырявость, когда он же Вам совершенно бесплатно предложил установить исправления. Вы сами от них отказывались.

                          Более того — каждое новое обновление несет в себе исправление старых косяков, которые могли крашить плагин. Вы от них отказывались и ругались на Flash плеер. Ок, я думаю тут ругаться надо на себя в первую очередь.

                          >>> Только память жрут и время тратится.

                          Время жрет кого? Ваше? Каким образом? Вы собирались пойти жене приготовить романтический ужин, но тут флеш плеер пришел и начал тратить Ваше время? )))) Ну Вы веселый человек ;)

                          Мне просто кажется, что Вы не умеете пользоваться компьютером. По крайней мере исходя из этого сообщения, которое тут оставили.
                            0
                            Я то обновлялся. Но там не просто одна кнопка, а там окно вылазит, нужно нажать «далее», потом ещё и ещё куча кнопок нажать, и следить ещё, чтобы не подсунули какую-нибудь фигню в виду галочки «поставьте opera-браузер или т.п.», потом в конце они ещё поздравляют, а потом ещё открывают какую-нибудь страницу в браузере.

                            Неужели трудно обновиться тихо и незаметно, ничего не запрашивая?

                            Теперь они сами виноваты в том, что я не пользуюсь ихним продуктом, ибо слишком надоедливый, напоминает рекламщиков или спамеров.

                            Flash для меня и для всего мира умер, когда в браузере появился canvas

                            Сейчас любую игру, которую раньше писали во флеш, можно сделать в браузере (canvas, webgl, 3d), не используя никаких сторонних плагинов. Ну и зачем этот флеш нужен, извините?
                              0
                              >>> чтобы не подсунули какую-нибудь фигню в виду галочки «поставьте opera-браузер или т.п.»
                              На странице загрузки галочка есть на счет McAffe от Intel. Это партнеры, которые финансируют некоторую часть разработки. Читающий человек снимает галочку сразу.

                              >>> потом в конце они ещё поздравляют, а потом ещё открывают какую-нибудь страницу в браузере.

                              Это сделано для того, чтоб собрать статистку прехода на новую версию флеш плера.

                              >>> Теперь они сами виноваты в том, что я не пользуюсь ихним продуктом

                              Т.е. Вы решили не покупать айфон и верите, что теперь, наконец-то, апл разорится? ;)

                              >>> Сейчас любую игру, которую раньше писали во флеш, можно сделать в браузере (canvas, webgl, 3d), не используя никаких сторонних плагинов. Ну и зачем этот флеш нужен, извините?

                              Канва и вебгл — дико тормозят. Много у кого (кто в играх донатит) просто не работает. Пройдет еще года 2-3, пока баланс не перевалит сильно больше в сторону canvas и еще года полтора-два после этого в сторону webgl.

                              Вы видели WebGL вприцнипе? Я видел… простые «поделки» заставляют закипать процессор. Работает в мобильном браузере? Да, у многих работает. Но мало кто играет — для этого есть google play и appstore.
                                +2
                                На странице загрузки галочка есть на счет McAffe от Intel. Это партнеры, которые финансируют некоторую часть разработки. Читающий человек снимает галочку сразу.
                                То есть они пользуясь неопытностью или невнимательностью пользователя пытаются подсунуть ненужный ему продукт во время простого обновления Flash, который сам по себе уже в принципе не нужен… Проще от него самого избавиться, чем при каждом обновлении проверять свою внимательность и играть в игру «не добавили ли они там ещё каких-нибудь галочек?».

                                Это сделано для того, чтоб собрать статистку прехода на новую версию флеш плера.
                                Обновлятор скачивает свежую версию исполняемых файлов, и самого факта обращения за этими бинарниками в принципе достаточно для сбора подобной статистики. Если нужно собрать информацию об успешных установках — по окончанию обновлятор может сам дёрнуть нужный URL для того, чтобы сообщить об успехе или провале, не беспокоя пользователя открытием бесполезных страниц.
                              +2
                              Вообще мне не ясно, почему Adobe так и не научила свой Flash обновляться полностью автоматически, без участия пользователя. Родители как-то пожаловались, что Youtube перестал работать. Оказалось, что Firefox заблокировал Flash из-за того, что тот не обновлён. Мне показалось проще вообще удалить Flash с их компьютера, чем объяснять процедуру обновления со снятием галочки-обманки «McAfee Security Scan Plus» и т.д. И таки не жалуются, все популярные сайты отлично работают без Flash.

                              На самом деле, не глядя на ужасно неудобную процедуру обновления, моим родителям даже просто не хватило бы прав на ручное обновление Flash. Браузер обновляется сам с использованием соответствующего сервиса, Windows тоже обновляется сама, а у учётных записей родителей и племянниц нет админских прав во избежание установки разной гадости. Если чего эдакого и запустят, то оно максимум что испортит — это их ограниченную учётную запись. Поэтому когда я приезжаю в гости, могу спокойно работать в своей админской учётке.

                              Было бы хорошо, если бы Adobe научила Flash обновляться полностью автоматом и без вопросов, причём проверка наличия обновления должна делаться не только при перезагрузке компьютера, но и просто ежедневно, потому что у многих пользователей компьютеры неделями не перезагружаются (у меня даже родители, далёкие от IT, никогда не выключают свой PC). Хорошо бы в таком случае просто вывести уведомление, что скачался новый Flash и чтобы обезопасить компьютер от опасности, попросить пользователя просто перезапустить браузер для завершения установки нового Flash.
                                0
                                Они недалеки от этого, Flash Player для IE в Windows 8 сам обновляется через Windows Update.
                                А последняя версия под NPAPI даже перезапуск браузера не требует, осталось сделать автоапдейтер как у Adobe Air, который предлагает обновиться при каждом запуске приложения.
                                  0
                                  В принципе, если WebAssembly будет доведён до релиза, будет быстрым, попадёт во все браузера, и Flash будет собран под него, то необходимость в отдельном плагине полностью отпадёт даже в запущенных случаях с бородатыми сайтами, которые до сих пор опираются на Flash.
                        +4
                        Хорошо бы разработчикам Adobe Flash Player реализовать нормальную процедуру обновления. А то сейчас обновление плагина — это целая спецоперация.
                          0
                          Давайте Ваши развернутые предложения. Донесу до продакт менеджера послание.
                            +2
                            Почему вы просите развернутые предложения? Полагаете, мне заняться больше нечем, как делать за адоб его работу?

                            Передайте им краткие тезисы. Пусть разворачивают сами.

                            1. Не удалять инсталятор в случае ошибки.
                            2. Проверять окружение перед установкой (свободное место, сетевой доступ, права администратора, версию ОС и т. п.)
                            3. Выдавать внятные сообщения об ошибках.
                            4. Сделать оффлайн инсталятор.
                            5. Не предлагать McAffee.

                            Судя по тому, как работает установка флэша, все сотрудники адоб, которые принимают решения, работают с выключенным файерволлом и с правами администратора. Неудивительно, что у них в продуктах полно дырок.
                              0
                              Во время установки флеш плеера надо тыкнуть первую галочку «Разрешить Adobe устанавливать обновления (рекомендуется)».

                              В этом случае критические обновления приходят без информирования пользователя.
                                –2
                                Во-первых, это далеко не всегда работает, а во-вторых, я имею право знать, какое приложение, когда, что и зачем качает, потому что я плачу за интернет, и я забочусь о сохранности своих личных данных. Если у меня с компьютера кто-то стырит мои персональные данные, адоб мне убытки компенсировать не будет.

                                Интересно, а стоимость трафика адоб учитывает, когда производит автоматические обновления?
                              0
                              См выше. Просто тупо надоело жать на кнопки и обновлять. Почему-то хром обновляется тихо и незаметно.
                              0
                              Раньше она была, обновления выкачивались сами. Причины, почему они решили заставить всех качать обнову вручную, мне не известны.
                              +2
                              Как много нам открытий чудных несет волшебный тот архив…
                                –1
                                Мне другое интерсно. Вот Eset часто всем рассказывает, что Flash опасный.

                                А почему за себя молчат, что сотрудники Google Project Zero сумели получить полный доступ к компьютеру жертвы, у которого установлен Eset Nod32? Соринку в чужом глазе видим, а бревно в своем нет? Ну… Ну…
                                  +2
                                  Они писали об этом тут:
                                  habrahabr.ru/company/eset/blog/261059
                                    –3
                                    Что они ответили? Типа «да, нашли»? Про флеш они красиво пишут много страшных слов простому посетителю. Чтоб стало максимально страшно.

                                    А то, что нашли у них — позволяет ставить любые приложения и получать неограниченный доступ к системе. Т.е. они о других продуктах пишут в духе антирекламы, а о своих пишут так, как будто ничего страшного.

                                    В общем, что хочу сказать… У всех есть проблемы и дыры в безопасности флеша менее страшны, чем в антивирусах. Флеш можно и удалить. А антивирус никто удалят не будет. И получается так, что кто должен защищать — сам является опасным. Вот о чем надо писать везде. А не про флеш. С флешом все ясно и так. В прошлый раз кто-то красиво сказал… «Надо ли отказаться от айфона, чтоб Apple умер?» :D
                                      +1
                                      Антивирусов много разных, кто-то вообще обходится только разграниченим прав и AppLocker. А Flash Player один и для него каждый месяц публикуют CVE с критическими уязвимостями.
                                        0
                                        Это кому-то мешает жить? У меня на компе много ценной информации. Почему её не украли с помощью флеша? может быть потому, что:
                                        — она никому не нужна?
                                        — не все так легко, как пишут в новостных сводках?
                                        — почти все CVE невозможно использовать?

                                        На кого направлен взлом флеш плеера и где все эти жертвы, которые боятся, что у них украдут исходник селфи для аватары вконтакте?
                                          +2
                                          Как минимум угонять пароли от всега и разошлют спам от моего имени. А могут поставить кейлоггер и увести деньги с кредитки или опустошить банковский счёт.
                                            +1
                                            Похоже я ещё не проснулся, прошу прощения за кучу опечаток.
                                              0
                                              navion, поверьте человеку, который часто чистит компы своим всем друзьям. Все кейлоггеры, софт для воровства паролей и прочий зловред лезет на комп жертвы не через Flash Player, а через скачивание мусора, который позволяет скачать другой мусор.

                                              Типичные ссылки типы «Скачайте этот загрузчик для установки игры». Вы даже себе не представляете количество людей, которые качают mp3 файлы в архивах вида «весь-альбом.mp3.exe».

                                              Проблема не во флеше, а в людях, которые не умеют пользоваться интернетом и браузером. У меня, кстати, со счета webmoney один раз украли около 3000 рублей. Полтора года назад… И случилось это потому, что Nod32 (купленный официально) пропустил вирус, скачанный женой. Она просто скачала сборник журналов в pdf. «Ну просто надо было запустить приложение, которое извлекало нужный журнал». Вот и все. Виноват ли Flash плеер в том, что у пользователя кривые руки и он как ребенок тянет к себе всё без разбора?
                                                +1
                                                Про людей согласен, но благодаря флешу даже скачивать ничего не нужно — достаточно зайти на зараженную страницу и на компьютере появится зловред в юзерспейсе.
                                                Запуск плагина по требованию мог бы спасти, но в реальной жизни оно работает через раз, а на сайтах вроде d3 придётся создавать правило для каждого подсайта.
                                                  –1
                                                  Да елки-палки… одно и то же…

                                                  Скажу прямым текстом. Покажите мне того человека, у кого через с помощью флеш плеера что-то было украдено? И что это была за информация? Я правда не видел таких, зато видел сотни людей, кто опасается флеш плеера :) Нет, ну правда :) Не надоели ли? Это как доходяге без руки каждый раз говорить «аа у тебя руки нет»…

                                                  Я лишь могу с работы привести примеры, когда параноики начитаются аналогичных статей от различных представителей антивирусных компаний и удаляют флеш плеер навсегда раз в месяц. Каждый божий месяц они его удаляют. Сначала ставят и потом удаляют. При этом ни разу у них ничего не украли вообще.
                                                    +1
                                                    Может быть у этих людей и не было заражений по той причине, что они вовремя обновляются или заранее затыкают потенциально проблемные места.

                                                    В первый и в последний раз я заражался вирусами через подобные уязвимости в 2002-2003 году. Это был обычный необновлённый IE6. Я даже вычислил конкретную страничку, при заходе на которую в корне диска появлялся файл 1.exe, запускался, и начинал скачивать другие исполняемые файлы и запускать их. Тогда мне стало понятно, зачем нужно обновляться. А ещё через несколько лет я уже сам игрался с такой уязвимостью, ради интереса сделал курсор, который при рендеринге (например, на страничке браузером, или при заходе проводником в расшаренный каталог с этим файлом) открывал полный доступ к диску C через сеть. И тогда мне стало ещё понятнее, насколько эти уязвимости опасны и как просто их может быть использовать.

                                                    По работе иногда приходилось вычищать вирусы с сайтов всевозможных мелких магазинов. Часто там просто встраивают какой-то iframe размером 1x1 пиксель, а там уже внутри его какой-то код смотрит, что эдакого вредного можно сделать, какие уязвимости в браузере можно использовать и т.д. Если бы такой метод заражения новых машин для очередного ботнета не работал — его бы не пытались использовать везде и всюду.
                                                      0
                                                      Вы предлагаете мне самому потерять деньги, чтобы поверить в CVE?
                                                        0
                                                        Шанс потерять деньги на улице раз в 100500 выше, чем сделать это из-за Flash Player. Значит ли это, что надо сидеть дома? Не преувеличивайте ущербность плеера.

                                                        Не нравится флеш плеер — удалите его. Это справедливо :) Но обсасывать его ошибки смысла не вижу, т.к. ошибок не совершает тот, кто ничего не делает.

                                                        А учитывая, что FP бесплатен — вопрос вообще теряет актуальность. Ставить его никто не заставляет. У меня с карточки одного банка ушло в никуда примерно 20 баксов (валюта была другая). Оказалось, что в банке просто это бывает — персонал тырит бабки. Те, кто жалуются — им возмещают. Кто нет или не подозревают — наверняка будут ругать флеш плеер после этой новости.
                                                          +1
                                                          Эта новость информирует об известной публично уязвимости, которая была не закрыта, чтобы каждый пользователь мог предпринять какие-то меры. В том и польза подобных новостей.

                                                          Люди высказывают своё мнение — для этого и созданы комментарии. Вы же не прошли мимо, а начали «оправдывать» Flash. Точно так кто-то его ругает. Бесплатность Flash никоим образом не обязывает всех говорить о нём только хорошее.
                                                            0
                                                            Я пришел не оправдывать флеш, ведь он как решето и я сам это вижу. А сообщить людям, что есть больше серьезные проблемы в других софтах. Но все кидаются на флеш лишь потому, что обсирать флеш — это мейнстрим.
                                                              0
                                                              Если вам станет легче, то Java — такое же решето.
                                                +1
                                                — она никому не нужна?
                                                По-моему эти уязвимости чаще пытаются использовать для пополнения рядов ботнетов новыми заражёнными компьютерами. Ценная информация редко встречается на компьютерах неопытных пользователей, разве что если кто-то заинтересовался именно вами и хочет получить доступ к вашей информации. Но не стать частью ботнета — тоже важная задача. Это как сифилис — подцепив, жить можно, но это очень неприятно.

                                                — почти все CVE невозможно использовать?
                                                Демонстрация предыдущей уязвимости часто могла запустить калькулятор, а значит выполнить и любые другие команды.
                                        0
                                        За последних пол года слишком много было опубликовано уязвимостей 0day. (и это только поверхность того что может видеть обычный пользователей).
                                          +2
                                          Интересно, а если не устраивает кого-то флеш, то зачем эти люди продолжают писать во всех темах, что они его удалили?
                                            +3
                                            «Я бежала за Вами три дня и три ночи, чтобы сказать насколько Вы мне безразличны...»
                                              0
                                              Ага… особенно доставляет, что тыкают все во флеш пальцем. А самая «дырявая» система до сих пор iOS. По данным Symantec за прошлый год 84% всех уязвимостей в мобильных устройствах пришлось на iOS. Но флеш конечно же плохой :D
                                            0
                                            Примечательно то, что Adobe потребовалось 48 часов, чтоб закрыть эту 0day уязвимость. Ровно столько потребовалось фейсбуку, чтоб устранить их косяк с авторизацией пользователя в на своем сайте. А это как бы уже говорит о том, что не такие уж и олени эти адобы
                                              0
                                              Все знают, что не такие уж и олени они. Просто политика компании не всем нравится. Ну и то, что вам эта контора небезразлична, все тоже поняли.
                                              0
                                              ^W (Мимо)

                                              Only users with full accounts can post comments. Log in, please.