iPon Hírek

Kritikus biztonsági rések a Flash-ben és a Javaban

Dátum | 2015. 07. 14.
Szerző | J.o.k.e.r
Csoport | SZOFTVER

Ahogy az várható volt, a Hacking Team adatbázisának feltörésével, illetve az adatok kiszivárogtatásával igazi lavina indult be az elmúlt napokban: sorra derül fény az újabbnál újabb biztonsági résekre, ahogy egyre többet sikerül feldolgozni a több, mint 400 GB-nyi dokumentumból. Legutóbb az Adobe Flash sérülékenységére hívták fel a figyelmet a biztonságtechnikai szakemberek, ám azóta egy patch is érkezett, ami befoltozta a lyukat. Ezzel persze még nincs vége a veszélynek – éppen ellenkezőleg, most jönnek majd csak az igazán forró napok. Fény derült újabb két Adobe Flash biztonsági résre, valamint egy másik, sokkal veszélyesebb sebezhetőségre is, aminek forrása a Java. Utóbbi annyira magas kockázatot jelent, hogy a Trend Micro figyelmeztetést adott ki: amíg az Oracle nem készíti el a rést befoltozó frissítést, mindenki tiltsa le webböngészőjében a Java támogatást.
A Java nulladik napi sebezhetőségét már aktívan támadják: eddig egy NATO tag, valamint az Amerikai Egyesült Államok egyik honvédelemmel foglalkozó szerződöttje is kapott olyan e-mailt, ami a hibában rejlő lehetőségeket próbálja kamatoztatni. A támadók egyelőre "nagyhalakra" hajtanak, de ez nem jelenti azt, hogy egyéb csoportok nem próbálnak profitálni a biztonsági rés adta előnyökből. A biztonsági rés komolyságát egyébként az is jelzi, hogy 2013 óta ez az első olyan nulladik napi sebezhetőség, ami a Java-t érinti. Az Adobe Flash térfelén két új sebezhetőség tűnt fel (CVE-2015-5122 és CVE-2015-5123) – ezeket a múlt héten kiadott frissítés még nem javítja, de az Adobe szakemberei már készítik az új patchet is. A két biztonsági rést egyelőre még nem támadják, de a felhasználóknak így is érdemes óvatosnak lenniük, hisz a hibák a Flash Windows-on, Mac-en és Linux-on futó kiadásait egyaránt érintik. A hibák jóvoltából a támadók bővítmény-összeomlást tudnak előidézni, sikeres végrehajtás esetén pedig átvehetik a megcélzott számítógép feletti irányítást. Az Adobe még a héten kiadja a hibákat javító frissítést, és valószínűleg az Oracle szoftverfejlesztői is hamarosan jelentkeznek a biztonságot nyújtó patch-csel.
Új hozzászólás írásához előbb jelentkezz be!