Zero day chyby a nejistá budoucnost formátu Flash

Pavel Houser , 30. prosinec 2015 17:00 0 komentářů

Ještě před koncem roku vydala Adobe mimořádné opravy přehrávače Flash Player. Facebook dává od Flashe čím dál víc ruce pryč. Jaká je budoucnost tohoto formátu a co poradit správcům IT?

Aktualizace (balíček APSB 16-01, tj. datováno už do roku 2016) opravuje několik chyb, z nichž jedna je již aktivně zneužívána. Všech 19 zalátaných zranitelností bylo kritických a umožňovalo vzdálené spuštění kódu už při zobrazení webu se škodlivým souborem SWF. Adobe se proto rozhodla uvolnit mimořádnou záplatu (tj. mimo pravidelný cyklus každé druhé úterý v měsíci). Problém se týká verzí přehrávače pro Windows, OS X, Linux i Chrome OS, opravené verze na Windows a Mac OS mají čísla 20.0.0.267 nebo 18.0.0.324.

V této souvislosti lze se opět opakují doporučení zakázat automatické spouštění objektů Flash na úrovni webového prohlížeče. Významnou novinkou je, že podporu pro Flash dále omezil Facebook, když v řadě svých sekcí (News Feed, Pages a vestavěný videopřehrávač) začal namísto tohoto formátu používat videa na bázi HTML 5.

Wolfgang Kandek, CTO bezpečnostní firmy Qualys, se pokouší na webu HelpNet Security odhadnout dopady posledních událostí. Na jedné straně platí, že bez podpory pro Flash se dokážou zcela obejít uživatelé systému iOS. Na druhé straně ale Facebook dále používá Flash jako platformu pro hry. Pokud by šlo jen o zábavní aplikace, mohli by správci podnikového IT dát Flash prostě na blacklist.

Tak jednoduché to nicméně nebude, protože Flash využívá i řada podnikových aplikací, takže správci by se spíše než o plošné blokování měli starat o vynucení aktualizací a co nejbezpečnějšího nastavení. Koncoví uživatelé se pak sami musejí rozhodnout, nakolik si cení bezpečnosti, tj. jak si nastaví spouštění objektů Flash v prohlížeči.

Každopádně Adobe sice zavedla v roce 2012 automatické aktualizace přehrávače a v roce 2013 i pravidelné měsíční vydávání záplat, ale množství zero day chyb ve Flash Playeru je takové, že to podle Kandeka prostě nepomohlo (na rozdíl od Windows nebo třeba jiného produktu Adobe, Readeru PDF, který se jako vektor útoku dnes používá v mnohem menší míře než před cca 3 lety).


Komentáře

RSS 

Komentujeme

Jak probíhá adopce cloudu

Pavel Houser , 16. únor 2018 09:45
Pavel Houser

Cloud už neznamená jen SaaS, jenže… K dispozici je řada analýz i prognóz, které dokládají, jak se po...

Více








RSS 

Zprávičky

ABB uvádí software pro transformaci energetických podniků

Pavel Houser , 20. únor 2018 12:22

ABB na konferenci DistribuTECH představila software ABB Ability Ellipse pro podporu digitalizace. ...

Více 0 komentářů

V Česku vznikne satelitní centrum pro armádní rozvědku a NATO

ČTK , 20. únor 2018 11:38

Centrum bude získávat a zpracovávat fotografie i radarové snímky z družic....

Více 0 komentářů

Soud zrušil milionové pokuty pro mobilní operátory

ČTK , 20. únor 2018 10:16

Případ se táhne už zhruba 15 let. Týká se společností T-Mobile a Oskar (předchůdce Vodafonu)....

Více 0 komentářů

Starší zprávičky

E-shopy likvidují už i kamenné obchody s obuví

ČTK , 19. únor 2018 13:13

Problémy mají i řetězce. Lidé si on-line objednávají šest párů bot, jedny si nechají a ostatní pošlo...

Více 1 komentářů

O2 navrhne valné hromadě výplatu akcionářům 21 Kč na akcii

ČTK , 19. únor 2018 08:00

Celkově by firma vyplatila na dividendách 5,274 miliardy Kč, tedy 98 % loňského čistého zisku....

Více 0 komentářů

Piezoelektrický jev u jednotlivých molekul umožní nanogenerátory elektrické energie

Pavel Houser , 18. únor 2018 08:00

Piezoelektrický jev odpovídá za vznik elektrického napětí v závislosti na vnějším mechanickém namáhá...

Více 0 komentářů

Také USA obvinily Rusko, že má na svědomí velký loňský kyberútok

ČTK , 17. únor 2018 08:00

Po Británii i Spojené státy obvinily ruskou vládu, že stojí za vlnou kybernetických útoků, která lon...

Více 2 komentářů