В Adobe Flash найдена еще одна серьезная уязвимость

Александр Панасенко 16 Ноября 2009 - 13:38

...

В популярном мультимедийном плагине Adobe Flash вновь найдена критически опасная уязвимость, открывающая для хакеров новую возможность проникновения на компьютеры пользователей. Исследователи информационной безопасности из компании Foreground Security говорят, что в сети уже есть ролики и сайты, эксплуатирующие новую уязвимость.

В последней уязвимости Adobe не одинока, схожую проблему исcледователи нашли в приложениях Google, таких как Gmail. Эксперты говорят, что в случае с Gmail эксплоита для использования новой проблемы пока не найдено. Сообщается, что оба производителя программного обеспечения уже проинформированы о проблемах в своих решениях.

На данный момент заплаток нет ни от Adobe, ни от Google. Использование найденной проблемы в случае с Gmail представляется затруднительным, поскольку атакующий должен обладать данными об идентификаторах пользователя, чтобы создать условия атаки. В Foreground Security сообщают, что на практике они пока не наблюдали случаев атак при помощи новых уязвимостей.

Тем не менее найденная уязвимость носит концептуальный характер и может затрагивать и другие интерактивные контентные технологии, такие как JavaScript. Брэд Аркин, директор по безопасности продуктов Adobe согласен, что уязвимость носит фундаментальный характер и кроется в самой веб-концепции. "Простое пропатчивание Flash ничего не даст. Мы видим эту проблему как общую и затрагивающую все сайты, работающие с технологиями активного скриптинга, речь не только о Flash, но и о JavaScript или Silverlight. Для того, чтобы заблокировать эту уязвимость, пользователям придется заблокировать возможность загрузки файлов в тот или иной домен", - говорит он.

Майк Бейли, старший специалист по безопасности Foreground Security говорит, что Adobe должна закрыть уязвимость, хотя и он признает, что полностью это проблему не решит. "Как вариант решения проблемы владельцам сайтов можно предложить оставить возможность сохранения пользовательского контента на сайте, однако загружать этот контент придется на другой сервер в другом домене", - говорит он. "В идеале Adobe, равно как и все остальные должны закрыть уязвимости, а владельцы сайтов - усилить политики безопасности".

Источник

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 18 Марта 2026 - 19:33

Корпорации NGR Softlab

NGR Softlab добавила гибкие цепочки анализа в систему проверки файлов

Компания NGR Softlab выпустила обновлённую версию Системы управления безопасностью файлов — решения, которое помогает выстраивать проверку входящих файлов через разные средства защиты и распределять нагрузку на них более аккуратно, особенно в часы пик.

Главное изменение в новой версии — более гибкая настройка самих сценариев проверки. Теперь политики можно точнее подгонять под реальные бизнес-процессы, а один и тот же файл при необходимости пропускать сразу через несколько цепочек анализа, причём в заданном порядке.

В системе также появился YARA-анализатор с более чем 18 тысячами правил из коробки. Его можно использовать как отдельный инструмент проверки внутри цепочки или опираться на его вердикт при выборе следующего маршрута для файла.

Ещё одно заметное изменение — поддержка интеграции с любыми открытыми средствами защиты, которые работают через REST API или ICAP. Это должно упростить встраивание системы в уже существующую инфраструктуру и снизить зависимость от ограниченного набора готовых интеграций.

Кроме того, в компании заявили, что в новой версии втрое ускорили конвертацию файлов в безопасный формат. Для организаций с большим потоком входящих документов это может быть важным моментом: чем быстрее проходит такая обработка, тем меньше риск, что проверка начнёт тормозить рабочие процессы.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!