This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Adobe manchas Flash - cabeças de in-the-wild ataques contra Windows e os usuários da Apple

Filed Under: Adobe, Featured, Security threats, Vulnerability

Quente nos saltos de Oracle patch de emergência não-on-a-terça-feira para Java vem um "Patch quinta-feira" atualização da Adobe.

Desta vez é Adobe Flash Player que recebe um upgrade, e soa bem a pena aplicar o mais rápido que puder.

A atualização cabeças in-the-wild ataques contra usuários de Windows e Apple.

Um marcador bom para manter o controle de vulnerabilidade relacionadas Adobe notificações é da empresa boletins de segurança e avisos de página. Enquanto escrevo isso, ele faz a ligação de produtos da Adobe Security Bulletin 13-04 .

(Não, eu não posso explicar por que os fornecedores de software ainda são tímidos de escrever ano com quatro dígitos. Sim, 2013-04 seria muito mais auto-descritivo, embora pelo menos a ambigüidade mês / ano é reduzido agora estamos além de 2012 .)

Adobe está ciente de relatórios que CVE-2013-0633 está sendo explorado em estado selvagem em ataques direcionados projetados para enganar o usuário a abrir um documento do Microsoft Word entregue como um anexo de e-mail que contém malicioso conteúdo Flash (SWF). O exploit para CVE-2013-0633 alvos a versão ActiveX do Flash Player no Windows.

A Adobe também está ciente de relatórios que CVE-2013-0634 está sendo explorado em estado selvagem em ataques maliciosos entregues via conteúdo Flash (SWF) hospedado em sites que alvo Flash Player no Firefox ou o Safari na plataforma Macintosh, bem como ataques projetados para truque usuários do Windows a abrir um documento do Microsoft Word entregue como um anexo de e-mail que contém malicioso conteúdo Flash (SWF).

Os fãs de Mac frequentemente ficar agitado quando sugerimos que sua plataforma pode ser vulnerável a ataques de malware que não exigem aprovação explícita do usuário.

Mas, mesmo se assumirmos que os usuários de Mac são sempre bem informado o suficiente para evitar clicar em [OK] teares cada vez de perigo, este é um lembrete de que os bandidos virtuais (ou avançados Threatsters persistentes, se você preferir) Macs considerar um alvo fecundo e vulnerável.

Estamos falando de RCE, ou a execução de código remoto, aqui.

Isso significa que um drive-by download, onde a interação com o usuário habitual, avisos e salvaguardas em seu software são ignoradas para que a mera leitura de uma página web ou visualização de um documento pode resultar em uma instalação clandestina de fundo.

Outro marcador bom no site da Adobe é o Sobre página. Este utiliza um objeto Flash para ver se você tem um Flash Player instalado, e irá relatar o número da versão se fazer.

Você pode comparar o número da versão mostrada com as versões recomendadas e, portanto, facilmente verificar o quão bem-patched você é:

Como já lamentou antes, versão da Adobe varia muito com o sistema operacional e navegador. Há quatro números na seqüência de versão, mas só mais à esquerda é constante em todas as plataformas suportadas.

Você precisará da versão 11 em cada plataforma, mas sua seqüência versão completa será construído a partir do seguinte conjunto tonto de combinações: 11. {2,3,5} {31202379502} {} 14.139.149.223.262...

E atualizador da Adobe ainda é tão anti-social como sempre, pelo menos no meu Mac.

Eu não deixo o Flash atualizar-se, preferindo ser notificado ou para verificar por mim mesmo quando eu ouço há algo disponível, como agora.

Isso geralmente significa abrir a mão Sobre página mencionada acima, e, quando necessário, usando o Flash Player no painel de preferências Preferências do Sistema:

Atualização da Adobe que sim assumir, neste momento, me obrigando a encerrar uma série de aplicações, o que ele não volte a abrir para mim depois. (Se eu não deixá-lo fazer isso, e quero esperar para terminar a atualização mais tarde, ele baixa a atualização inteira de novo, mesmo que seja a mesma versão que foi buscar antes.)

E quando ele é feito, é sempre afiado mortos para me fazer repensar o negócio de atualizações automáticas, o que eu presumo também significa automaticamente forçar a fechar os aplicativos:

Talvez eu seja um pouco antigo, mas eu prefiro escolher o momento para minhas atualizações, especialmente como eu usar uma variedade de redes em uma variedade de custos.

Apesar destas pequenas queixas, no entanto, descobrir o que mudou em Flash, e se eu preciso atualizar, é muito fácil nos dias de hoje.

E obter a atualização é fácil, se você ignorar a força próxima de suas aplicações.

Para você ...

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog