Zero day chyby a nejistá budoucnost formátu Flash

Pavel Houser , 30. prosinec 2015 17:00 0 komentářů

Ještě před koncem roku vydala Adobe mimořádné opravy přehrávače Flash Player. Facebook dává od Flashe čím dál víc ruce pryč. Jaká je budoucnost tohoto formátu a co poradit správcům IT?

Aktualizace (balíček APSB 16-01, tj. datováno už do roku 2016) opravuje několik chyb, z nichž jedna je již aktivně zneužívána. Všech 19 zalátaných zranitelností bylo kritických a umožňovalo vzdálené spuštění kódu už při zobrazení webu se škodlivým souborem SWF. Adobe se proto rozhodla uvolnit mimořádnou záplatu (tj. mimo pravidelný cyklus každé druhé úterý v měsíci). Problém se týká verzí přehrávače pro Windows, OS X, Linux i Chrome OS, opravené verze na Windows a Mac OS mají čísla 20.0.0.267 nebo 18.0.0.324.

V této souvislosti lze se opět opakují doporučení zakázat automatické spouštění objektů Flash na úrovni webového prohlížeče. Významnou novinkou je, že podporu pro Flash dále omezil Facebook, když v řadě svých sekcí (News Feed, Pages a vestavěný videopřehrávač) začal namísto tohoto formátu používat videa na bázi HTML 5.

Wolfgang Kandek, CTO bezpečnostní firmy Qualys, se pokouší na webu HelpNet Security odhadnout dopady posledních událostí. Na jedné straně platí, že bez podpory pro Flash se dokážou zcela obejít uživatelé systému iOS. Na druhé straně ale Facebook dále používá Flash jako platformu pro hry. Pokud by šlo jen o zábavní aplikace, mohli by správci podnikového IT dát Flash prostě na blacklist.

Tak jednoduché to nicméně nebude, protože Flash využívá i řada podnikových aplikací, takže správci by se spíše než o plošné blokování měli starat o vynucení aktualizací a co nejbezpečnějšího nastavení. Koncoví uživatelé se pak sami musejí rozhodnout, nakolik si cení bezpečnosti, tj. jak si nastaví spouštění objektů Flash v prohlížeči.

Každopádně Adobe sice zavedla v roce 2012 automatické aktualizace přehrávače a v roce 2013 i pravidelné měsíční vydávání záplat, ale množství zero day chyb ve Flash Playeru je takové, že to podle Kandeka prostě nepomohlo (na rozdíl od Windows nebo třeba jiného produktu Adobe, Readeru PDF, který se jako vektor útoku dnes používá v mnohem menší míře než před cca 3 lety).


Komentáře

RSS 

Komentujeme

Intel Inside aneb všichni jsme načipováni

Petr Zavoral , 10. prosinec 2017 18:20
Petr Zavoral

V Havlově hře Audience přesvědčuje Sládek Ferdinanda Vaňka, aby donášel sám na sebe. Z pohledu letoš...

Více







Kalendář

09. 01.

13. 01.
CES 2018
18. 01.

19. 01.
itSMF 2018
30. 01. Ecommerce Expo Prague 2017
RSS 

Zprávičky

Spotify a Tencent se propojují

ČTK , 10. prosinec 2017 08:00

Přední světová služba pro streamování hudby Spotify a čínská konkurenční firma Tencent Music Enterta...

Více 0 komentářů

Bezpečnostní politika firem brání plně využít potenciál IoT

Pavel Houser , 09. prosinec 2017 08:00

Tři čtvrtiny účastníků průzkumu EY Global Information Security Survey 2017 pokládají za nejpravděpod...

Více 4 komentářů

Globální výdaje na bezpečnost IT porostou v příštím roce o 8 % na 96 miliard dolarů

Pavel Houser , 08. prosinec 2017 10:57

Nejrychleji porostou řešení SIEM, testování IT bezpečnosti a její outsourcing. ...

Více 1 komentářů

Starší zprávičky

Soud EU: Luxusní značky mohou zakázat internetový prodej zboží

ČTK , 08. prosinec 2017 10:00

Oponenti poukazují na to, že omezení prodejů jde proti hospodářské soutěži....

Více 1 komentářů

Agentura pro satelitní systém Galileo přinesla ČR miliardu korun

ČTK , 08. prosinec 2017 08:00

V současné době je na oběžné dráze 18 satelitů, vypuštění dalších čtyř je naplánováno na 12. prosine...

Více 0 komentářů

Cena bitcoinu se vyhoupla přes 15 000 dolarů (aktualizace)

ČTK , 07. prosinec 2017 13:55

Ceně pomáhá očekávané spuštění obchodování s bitcoinovými termínovými kontrakty....

Více 1 komentářů

Český start-up Kiwi.com je na prodej za nejméně 10 mld Kč

ČTK , 07. prosinec 2017 12:15

Akcionáři on-line prodejce letenek si odhlasovali, že vyberou poradenskou firmu, která jim pomůže s ...

Více 0 komentářů