Zero day chyby a nejistá budoucnost formátu Flash

Pavel Houser , 30. December 2015 17:00 0 komentářů

Ještě před koncem roku vydala Adobe mimořádné opravy přehrávače Flash Player. Facebook dává od Flashe čím dál víc ruce pryč. Jaká je budoucnost tohoto formátu a co poradit správcům IT?

Aktualizace (balíček APSB 16-01, tj. datováno už do roku 2016) opravuje několik chyb, z nichž jedna je již aktivně zneužívána. Všech 19 zalátaných zranitelností bylo kritických a umožňovalo vzdálené spuštění kódu už při zobrazení webu se škodlivým souborem SWF. Adobe se proto rozhodla uvolnit mimořádnou záplatu (tj. mimo pravidelný cyklus každé druhé úterý v měsíci). Problém se týká verzí přehrávače pro Windows, OS X, Linux i Chrome OS, opravené verze na Windows a Mac OS mají čísla 20.0.0.267 nebo 18.0.0.324.

V této souvislosti lze se opět opakují doporučení zakázat automatické spouštění objektů Flash na úrovni webového prohlížeče. Významnou novinkou je, že podporu pro Flash dále omezil Facebook, když v řadě svých sekcí (News Feed, Pages a vestavěný videopřehrávač) začal namísto tohoto formátu používat videa na bázi HTML 5.

Wolfgang Kandek, CTO bezpečnostní firmy Qualys, se pokouší na webu HelpNet Security odhadnout dopady posledních událostí. Na jedné straně platí, že bez podpory pro Flash se dokážou zcela obejít uživatelé systému iOS. Na druhé straně ale Facebook dále používá Flash jako platformu pro hry. Pokud by šlo jen o zábavní aplikace, mohli by správci podnikového IT dát Flash prostě na blacklist.

Tak jednoduché to nicméně nebude, protože Flash využívá i řada podnikových aplikací, takže správci by se spíše než o plošné blokování měli starat o vynucení aktualizací a co nejbezpečnějšího nastavení. Koncoví uživatelé se pak sami musejí rozhodnout, nakolik si cení bezpečnosti, tj. jak si nastaví spouštění objektů Flash v prohlížeči.

Každopádně Adobe sice zavedla v roce 2012 automatické aktualizace přehrávače a v roce 2013 i pravidelné měsíční vydávání záplat, ale množství zero day chyb ve Flash Playeru je takové, že to podle Kandeka prostě nepomohlo (na rozdíl od Windows nebo třeba jiného produktu Adobe, Readeru PDF, který se jako vektor útoku dnes používá v mnohem menší míře než před cca 3 lety).


Komentáře

RSS 

Komentujeme

E-banking namísto datové schránky

Pavel Houser , 12. March 2019 11:30
Pavel Houser

Projekty zaměřené na elektronický kontakt občana se státní správou u nás zatím příliš neuspěly. Dr...

Více

Kalendář

14. 03.

24. 03.
IT mezi paragrafy 2019
19. 03.

22. 03.
Amper 2019
26. 03. IT Security Workshop 2019







RSS 

Zprávičky

Evropský parlament bude hlasovat o změně směrnice o copyrightu

ČTK , 21. March 2019 10:00

Plénum nyní bude hlasovat nejprve o pozměňovacím návrhu, nikoli o směrnici jako celku, jak bylo půvo...

Více 0 komentářů

Vodafone a Liberty Global dostanou varování regulátorů

ČTK , 21. March 2019 09:00

EK se obává, že převzetí aktivit Liberty Global by v ČR mohlo vést k vytlačení některých telekomunik...

Více 0 komentářů

EK udělila Googlu pokutu 1,49 mld. eur kvůli internetové reklamě

ČTK , 21. March 2019 08:00

Google ve smlouvě AdSense for Search stanovil omezení bránící konkurenci umísťovat své reklamy na ty...

Více 0 komentářů

Starší zprávičky

Google se pouští do videoher, představil platformu Stadia

ČTK , 20. March 2019 11:00

Google Stadia bude konkurovat výrobcům herních konzolí i specializovaným videoslužbám....

Více 0 komentářů

Elektrotechnický průmysl loni dále rostl přes 5 %

ČTK , 20. March 2019 10:00

Se zpomalením autoprůmyslu začnou firmy vymýšlet řešení pro zemědělství, farmaceutický průmysl a dal...

Více 0 komentářů

ISP Aliance: Směrnice o autorských právech může zdražit on-line služby

ČTK , 20. March 2019 09:00

Směrnice například počítá s výjimkou pro recese a parodie, v praxi ale neexistuje technologie, která...

Více 0 komentářů

Výrobce chytrých telefonů Xiaomi ztrojnásobil čtvrtletní zisk

ČTK , 20. March 2019 08:00

Loni firma uvedla své akcie na hongkongskou burzu. Šlo o největší primární nabídku akcií v technolog...

Více 0 komentářů