Zero day chyby a nejistá budoucnost formátu Flash

Pavel Houser , 30. prosinec 2015 17:00 0 komentářů

Ještě před koncem roku vydala Adobe mimořádné opravy přehrávače Flash Player. Facebook dává od Flashe čím dál víc ruce pryč. Jaká je budoucnost tohoto formátu a co poradit správcům IT?

Aktualizace (balíček APSB 16-01, tj. datováno už do roku 2016) opravuje několik chyb, z nichž jedna je již aktivně zneužívána. Všech 19 zalátaných zranitelností bylo kritických a umožňovalo vzdálené spuštění kódu už při zobrazení webu se škodlivým souborem SWF. Adobe se proto rozhodla uvolnit mimořádnou záplatu (tj. mimo pravidelný cyklus každé druhé úterý v měsíci). Problém se týká verzí přehrávače pro Windows, OS X, Linux i Chrome OS, opravené verze na Windows a Mac OS mají čísla 20.0.0.267 nebo 18.0.0.324.

V této souvislosti lze se opět opakují doporučení zakázat automatické spouštění objektů Flash na úrovni webového prohlížeče. Významnou novinkou je, že podporu pro Flash dále omezil Facebook, když v řadě svých sekcí (News Feed, Pages a vestavěný videopřehrávač) začal namísto tohoto formátu používat videa na bázi HTML 5.

Wolfgang Kandek, CTO bezpečnostní firmy Qualys, se pokouší na webu HelpNet Security odhadnout dopady posledních událostí. Na jedné straně platí, že bez podpory pro Flash se dokážou zcela obejít uživatelé systému iOS. Na druhé straně ale Facebook dále používá Flash jako platformu pro hry. Pokud by šlo jen o zábavní aplikace, mohli by správci podnikového IT dát Flash prostě na blacklist.

Tak jednoduché to nicméně nebude, protože Flash využívá i řada podnikových aplikací, takže správci by se spíše než o plošné blokování měli starat o vynucení aktualizací a co nejbezpečnějšího nastavení. Koncoví uživatelé se pak sami musejí rozhodnout, nakolik si cení bezpečnosti, tj. jak si nastaví spouštění objektů Flash v prohlížeči.

Každopádně Adobe sice zavedla v roce 2012 automatické aktualizace přehrávače a v roce 2013 i pravidelné měsíční vydávání záplat, ale množství zero day chyb ve Flash Playeru je takové, že to podle Kandeka prostě nepomohlo (na rozdíl od Windows nebo třeba jiného produktu Adobe, Readeru PDF, který se jako vektor útoku dnes používá v mnohem menší míře než před cca 3 lety).


Komentáře

RSS 

Komentujeme

AI i její tvůrci před soudem

Pavel Houser , 22. duben 2018 09:30
Pavel Houser

John Kingston z anglické University of Brighton poskytl pro The Register svůj pohled na právní odpov...

Více







RSS 

Zprávičky

Čínská služba pro streamování hudby Tencent míří na burzu

ČTK , 23. duben 2018 11:19

Spotify byla nedávno ohodnocena na 30 miliard dolarů. 25 miliard očekávaných u Tencentu je také obro...

Více 0 komentářů

Obchod s kryptoměnami se stěhuje mimo burzy

ČTK , 23. duben 2018 09:00

Objem obchodování s kryptoměnami je oproti konci roku poloviční....

Více 0 komentářů

Čtvrtina Čechů vyzkoušela služby sdílené ekonomiky

ČTK , 23. duben 2018 08:00

Více než polovina lidí zná služby Zonky (74 procent) a Uber (62 procent)....

Více 0 komentářů

Starší zprávičky

Před 25 lety byl zpřístupněn webový prohlížeč Mosaic

ČTK , 21. duben 2018 15:22

Mosaic se zrodil v průběhu roku 1992 v hlavě Marca Andreessena a jeho kolegy Erica Biny....

Více 0 komentářů

Těžba bitcoinů při kurzu pod 8 600 dolarů je ztrátová

ČTK , 20. duben 2018 11:21

Analytici se domnívají, že poptávka po hardwaru pro těžbu bitcoinů dál klesne, stejně jako cena kryp...

Více 1 komentářů

Netflixu prudce stoupají příjmy i počet odběratelů

ČTK , 20. duben 2018 09:36

Čistý zisk ve čtvrtletí stoupl na 290,1 milionu dolarů, neboli 64 centů na akcii....

Více 0 komentářů

Zájem o přijímače s digitálním rádiem je minimální

ČTK , 20. duben 2018 08:00

Český rozhlas na konci loňského roku rozšířil pokrytí digitálním signálem na 40 % populace....

Více 4 komentářů