Hackere utnyttet Flash-feil

Hackere utnyttet Flash-feil

Adobe innrømmer at hackere har utnyttet en Flash-feil som nå er rettet opp.

Adobe har nå tettet igjen seks sikkerhetshull i mediespilleren Flash Player. Selskaper vedgår at hackere har greid å utnytte én av feilene.

Den aktuelle feilen er identifisert som CVE-2011-2444 og har en del fellestrekk med et tidligere sikkerhetshull i Flash som hackere brukte for å få adgang til Gmail-kontoer i sommer, melder IDGs nyhetstjeneste.

Stjeler brukernavn og passord

Sårbarheten som har fått navnet CVE-2011-2444, er en såkalt XSS-feil, som står for "Cross-site scripting"-sårbarhet. Ved hjelp av denne typen feil i programvare greier hackere å stjele brukernavn og passord fra sårbare nettlesere.

I dette tilfelle var det imidlertid ikke selve nettleseren som ble brukt. I stedet utnyttet hackere denne svakheten i Adobe Flash Player, som altså er en innstikksmodul i nettleserne.

Varslet av Google

Som forrige gang var det Googles sikkerhetsfolk som gjorde Adobe oppmerksom på også denne feilen.

I sine sikkerhetsråd bruker Adobe nesten identiske formuleringer om CVE-2011-244 som da de advarte mot feilen som ble kjent i juni.

– Det er rapportert at denne sårbarheten er blitt utnyttet i aktive, målrettede angrep der hensikten har vært å lure brukeren til å klikke på en ondsinnet lenke distribuert via e-post, fremholdt Adobe i sitt nyeste sikkerhetsråd. Det var omtrent det samme som ble sagt i juni.

Skriptet det er snakk om, kunne brukes til å opptre på vegne av den berørte brukeren på et hvilket som helt nettsted eller på webmail-kontoen til brukeren, forutsatt at brukeren først har klikket seg inn nettstedet med ondsinnet kode som hackeren har lurt brukeren inn på.

Adobe ønsker ikke å svare på hvordan den nye sårbarheten er blitt utnyttet og henviser til Google, som i skrivende stund ikke har svart på henvendelsen fra IDGs nyhetstjeneste.

Også fire av de fem andre feilende som Adobe nå har rettet opp, kunne ha blitt utnyttet av hackere for å kjøre ondsinnet programvare på datamaskiner som hackere har greid å skaffe seg adgang til.

Mange feilrettinger

Feilrettingen som Adobe har gjennomført nå, er den første siden Adobe rettet opp 13 feil den 9. august i år. Hittil i år har Adobe lagt ut feilrettinger til Flash åtte ganger. Flere av dem har vært "nød-oppdateringer" lagt ut i all hast fordi man oppdaget at angrep var underveis.

Feilrettingen nå omfatter Flash Player for Windows, Mac, Linux og Solaris. Oppdateringen kan lastes ned fra Adobe. Alternativt kan man kjøre oppdateringen fra oppdateringsfunksjonen i et Adobe-program eller vente til at oppdateringsmeldingen dukker opp på skjermen..

Android-brukere må søke etter oppdateringen på Android Market, ifølge IDGs nyhetstjeneste.

Google har i all stillhet oppdatert Chrome-nettleseren med ny versjon av Flash Player tidligere i uka. Google har hatt Flash-støtte i Chrome siden april 2010 og er fortsatt den eneste nettleser-leverandøren som har koblet innstikksmodulen til sine egne oppdateringer.

Les om: