Adobe-korrigeringar blinkar fel, angripare riktade Firefox-användare

Adobe lappade tre nya säkerhetsfel i sin nästan allestädes närvarande Flash Player, varav två redan utnyttjades i naturen. Angripare riktade sig specifikt till Mozilla Firefox-användare, sade företaget.

De två nolldagars sårbarheterna, CVE 2013-0643 och CVE 2013-0648, utnyttjades i riktade attacker där användare lurades att klicka på en länk till en webbplats som är värd för skadliga Flash-filer, sade Adobe i sin säkerhetsrådgivning som släpptes tisdag. Företaget krediterade ingen organisation eller forskare som hittade nolldagars sårbarheter, men krediterade IBM X-force för att rapportera det tredje säkerhetshålet.

Adobes säkerhetsingenjörer vid RSA-konferensen vägrade också att ge ytterligare information.

”Utnyttjandet för Cve 2013-0643 och CVE 2013-0648 är utformat för att rikta in webbläsaren Firefox, ” sade Adobe i den rådgivande.

Angripare kan utlösa sårbarheterna för att få Flash Player att krascha och få fjärrkontroll av datorn, sade Adobe. Nolldagarna är relaterade till ett behörighetsproblem med Flash Player Firefox sandlåda och en fel i funktionen ExternalInterface ActionScript, som kan utnyttjas för att köra skadlig kod. Det tredje, som för närvarande inte utnyttjas ännu, var ett buffertöversvämningssårbarhet i en Flash Player-mäklartjänst och kan användas för att köra skadlig kod, sade Adobe.

Uppdateringen påverkar alla versioner av Flash på Windows, Mac OS X och Linux. Användare kan ladda ner den senaste versionen från Adobes webbplats eller aktivera bakgrundsuppdateringar och låta programvaran ta tag i versionen automatiskt. Google och Microsoft kommer att uppdatera Flash på Chrome och Internet Explorer 10 (för Windows 8) separat.

Denna Flash-uppdatering är den andra out-of-band-lappen för Flash Player den här månaden, den tredje Adobe-patch i februari månad, och den fjärde sådan patch som släpptes 2013 hittills.

Det har gått nästan ett år sedan Adobe startade autmatiska uppdateringar för Flash och Reader, och uppdateringsgraden har varit enorm, berättade Brad Arkin, seniordirektörens säkerhet och integritet på Adobe, SecurityWatch på RSA-konferensen. Den tidigare modellen där användare uppmanades att ladda ner de senaste uppdateringarna räckte inte för att få användare att faktiskt lappa Flash Player, sade Arkin. Med övergången till bakgrundsuppdateringar har framgångsgraden varit betydande.

För att se alla inlägg från vår RSA-täckning, kolla in vår sida för rapporter.