Adobe manchas Flash – cabeças de in-the-wild ataques contra Windows e os usuários da Apple

Quente nos saltos de Oracle patch de emergência não-on-a-terça-feira para Java vem um "Patch quinta-feira" atualização da Adobe.

Desta vez é Adobe Flash Player que recebe um upgrade, e soa bem a pena aplicar o mais rápido que puder.

A atualização cabeças in-the-wild ataques contra usuários de Windows e Apple.

Um marcador bom para manter o controle de vulnerabilidade relacionadas Adobe notificações é da empresa boletins de segurança e avisos de página. Enquanto escrevo isso, ele faz a ligação de produtos da Adobe Security Bulletin 13-04 .

(Não, eu não posso explicar por que os fornecedores de software ainda são tímidos de escrever ano com quatro dígitos. Sim, 2013-04 seria muito mais auto-descritivo, embora pelo menos a ambigüidade mês / ano é reduzido agora estamos além de 2012 .)

Adobe está ciente de relatórios que CVE-2013-0633 está sendo explorado em estado selvagem em ataques direcionados projetados para enganar o usuário a abrir um documento do Microsoft Word entregue como um anexo de e-mail que contém malicioso conteúdo Flash (SWF). O exploit para CVE-2013-0633 alvos a versão ActiveX do Flash Player no Windows.

A Adobe também está ciente de relatórios que CVE-2013-0634 está sendo explorado em estado selvagem em ataques maliciosos entregues via conteúdo Flash (SWF) hospedado em sites que alvo Flash Player no Firefox ou o Safari na plataforma Macintosh, bem como ataques projetados para truque usuários do Windows a abrir um documento do Microsoft Word entregue como um anexo de e-mail que contém malicioso conteúdo Flash (SWF).

Os fãs de Mac frequentemente ficar agitado quando sugerimos que sua plataforma pode ser vulnerável a ataques de malware que não exigem aprovação explícita do usuário.

Mas, mesmo se assumirmos que os usuários de Mac são sempre bem informado o suficiente para evitar clicar em [OK] teares cada vez de perigo, este é um lembrete de que os bandidos virtuais (ou avançados Threatsters persistentes, se você preferir) Macs considerar um alvo fecundo e vulnerável.

Estamos falando de RCE, ou a execução de código remoto, aqui.

Isso significa que um drive-by download, onde a interação com o usuário habitual, avisos e salvaguardas em seu software são ignoradas para que a mera leitura de uma página web ou visualização de um documento pode resultar em uma instalação clandestina de fundo.

Outro marcador bom no site da Adobe é o Sobre página. Este utiliza um objeto Flash para ver se você tem um Flash Player instalado, e irá relatar o número da versão se fazer.

Você pode comparar o número da versão mostrada com as versões recomendadas e, portanto, facilmente verificar o quão bem-patched você é:

Como já lamentou antes, versão da Adobe varia muito com o sistema operacional e navegador. Há quatro números na seqüência de versão, mas só mais à esquerda é constante em todas as plataformas suportadas.

Você precisará da versão 11 em cada plataforma, mas sua seqüência versão completa será construído a partir do seguinte conjunto tonto de combinações: 11. {2,3,5} {31202379502} {} 14.139.149.223.262...

E atualizador da Adobe ainda é tão anti-social como sempre, pelo menos no meu Mac.

Eu não deixo o Flash atualizar-se, preferindo ser notificado ou para verificar por mim mesmo quando eu ouço há algo disponível, como agora.

Isso geralmente significa abrir a mão Sobre página mencionada acima, e, quando necessário, usando o Flash Player no painel de preferências Preferências do Sistema:

Atualização da Adobe que sim assumir, neste momento, me obrigando a encerrar uma série de aplicações, o que ele não volte a abrir para mim depois. (Se eu não deixá-lo fazer isso, e quero esperar para terminar a atualização mais tarde, ele baixa a atualização inteira de novo, mesmo que seja a mesma versão que foi buscar antes.)

E quando ele é feito, é sempre afiado mortos para me fazer repensar o negócio de atualizações automáticas, o que eu presumo também significa automaticamente forçar a fechar os aplicativos:

Talvez eu seja um pouco antigo, mas eu prefiro escolher o momento para minhas atualizações, especialmente como eu usar uma variedade de redes em uma variedade de custos.

Apesar destas pequenas queixas, no entanto, descobrir o que mudou em Flash, e se eu preciso atualizar, é muito fácil nos dias de hoje.

E obter a atualização é fácil, se você ignorar a força próxima de suas aplicações.

Para você …