Nye hull i Flash, Reader og Acrobat

Nye hull i Flash, Reader og Acrobat

Adobe advarer mot "ekstremt kritiske" hull i egne programmer.

Den nyeste og de eldre versjonene av Adobe Flash Player for både Windows, Mac, Linux og Solaris har hull. Det samme har Adobe Reader 9.x og Adobe Acrobat 9.x for Windows, Mac og Unix. Det annonserte Adobe på fredag kveld, amerikansk tid, og la til at angrep allerede er et faktum.

- Det har kommet rapporter om at disse sårbarhetene aktivt utnyttes, skriver selskapet i en sikkerhetsbulleteng.

Det danske sikkerhetsfirmaet Secunia har rangert hullet som «ekstremt kritisk», det øverste nivået i selskapets trusselskala. U.S. Computer Emergency Readiness Team (US-CERT), den amerikanske ekvivalenten til Norcert, har også lagt ut en formell advarsel.

Nesten som i fjor

Hullet kan gi angriperen mulighet til å kapre en datamaskin, ifølge Adobe. Selskapets bulletin minner mistenkelig om advarselen de la ut 22. juli i fjor, da akkurat samme programmer viste seg å være hackbare, ifølge Computerworlds nyhetstjeneste.

De nyeste advarslene kommer treffende nok få dager etter at Adobes sikkerhets- og personvernsdirektør Brad Arkin gikk ut og innrømmet at Adobe er i skurkenes fokus. Han påpekte da at Adobe tar grep, blant annet ved å bruke bedre utviklingspraksis som skal gi sikrere kode.

Slett Authplay.dll

Når det gjelder denne nye typen hull, har Adobe ikke gitt ut noen konkrete detaljer om hvordan angrepene har utartet seg, men Computerworlds nyhetstjeneste spekulerer i hvorvidt angrepene benytter samme strategi som etter 22. juli i fjor. Da lagde skurkene ondsinnede pdf-filer med Flash-innhold, og la også ut ondsinnede Flash-filer på nettsider.

Adobe har ikke kommet med noen tidslinje på når de vil fikse problemet, men under intervjuet med Arkin la han vekt på at Adobe flere ganger siste året har klart å nå en 15-dagers hastefiksdeadline. Hvis de klarer det i denne omgangen, vil fiksen være på plass senest 19. juni.

Brukere kan i mellomtiden beskytte seg ved å slette eller gi nytt navn til filen authplay.dll, som sørger for at Flash kan spilles av i pdf-filer. På selve Flash-fronten påpeker Adobe at slippkandidaten (RC-en) Flash Player 10.1 «ikke ser ut til å være sårbar», og oppfordrer dermed folk til å laste ned den ikke helt ferdige versjonen.

Les om: