Video: Поддельный инсталлятор Adobe Flash Player и вирус переадресации (September 2024)
Adobe lappade två kritiska säkerhetsfel i Flash Player, som båda var under aktiv attack. Om du inte har automatiska uppdateringar aktiverade måste du ladda ner den senaste versionen och installera den omedelbart.
Företaget är medveten om attacker i vilda riktade Flash-versioner för Windows och Mac OS X, sade Adobe i sin säkerhetsrådgivande släppte 7 februari. Användare på dessa operativsystem som kör Flash Player 11.5.502.146 och tidigare bör uppdatera till den senaste Adobe Flash Player 11.5.502.149 så snart som möjligt, sade Adobe i sin rådgivande. Adobe släppte också uppdaterade Flash Player-versioner för Linux och Android, men dessa två plattformar attackeras för närvarande inte.
Google kommer automatiskt att uppdatera Flash Player integrerad i Chrome och Microsoft kommer att göra samma sak för Internet Explorer 10. Användare kan kontrollera här för att se vilken Flash-version de har installerat och om de måste uppdatera.
"Dessa uppdateringar adresserar sårbarheter som kan orsaka en krasch och potentiellt tillåta en angripare att ta kontroll över det drabbade systemet", sade Adobe i den rådgivande.
Bugs Under Attack
Attacker utnyttjade CVE-2013-0633 via ett booby-fångat Microsoft Word-dokument som innehåller skadlig Flash-kod bifogad ett e-postmeddelande. Detta utnyttjade riktade sig till ActiveX-versionen av Flash Player på Windows, enligt Adobe. En framgångsrik kompromiss skulle resultera i att angriparen kan fjärrköra kod och ha full kontroll, varnade Adobe.
Den andra sårbarheten, CVE-2013-0634, riktade Safari och Firefox på Mac OS X. Användare som landade på webbplatsen med skadligt Flash-innehåll utlöste en enhet för nedladdning. En enhet för nedladdning hänvisar till en attackstil som körs automatiskt utan att användaren behöver göra något. Denna sårbarhet används också mot Windows-användare via skadliga Word-dokument. Detta fel, om det utnyttjas framgångsrikt, skulle också ge angriparen full kontroll över datorn.
En drivrutin för nedladdning är farlig eftersom "den vanliga användarinteraktion, varningar och skyddsåtgärder i din programvara förbipasseras så att bara läsning av en webbsida eller visning av ett dokument kan leda till en underlig bakgrundsinstallation", skrev Paul Ducklin, Sophos, på Naked Security-bloggen.
Riktade attacker mot vem?
Det finns inte mycket information om själva attackerna, men Adobe krediterade medlemmar i Shadowserver Foundation, Lockheed Martins Computer Incident Response Team och MITER för att rapportera Mac-sårbarheten. Kaspersky Lab-forskare krediteras för att hitta Windows-felet. Det är möjligt att Lockheed Martin och MITER fick namnet eftersom de hittade de skadliga Word-dokumenten i en riktad attack mot sina system. Sådana attacker är vanliga inom försvars-, flyg- och andra industrier, och Lockheed Martin har sett liknande attacker tidigare.
Forskare med FireEye Malware Intelligence Lab har analyserat Word-dokumenten som används för att rikta in sig på Windows-system och identifierat ett åtgärdsskript som heter "LadyBoyle" i Flash-koden. LadyBoyle-skriptet släpper flera körbara filer och en DLL-biblioteksfil på Windows-maskiner med ActiveX-komponenten installerad, skrev Thoufique Haq, en FireEye-forskare, på labbets blogg. Medan attackfilerna sammanställdes så sent som 4 februari, är skadefamiljfamiljen inte ny och har observerats i tidigare attacker, sade Haq.
"Det är intressant att notera att även om innehållet i Word-filer är på engelska är kodsidan för Word-filer" Windows Simplified Chinese (PRC, Singapore) ", skrev Haq.
En av de tappade körbara filerna har också ett ogiltigt digitalt certifikat från MGame, ett koreanskt spelbolag. Liksom många andra typer av aktiv skadlig kod, kontrollerar den här varianten om antivirusverktyg från Kaspersky Lab eller ClamAV körs på systemet, enligt FireEye.
