Af Eskil Sørensen, 19/10/20
Adobe har frigivet en sikkerhedsopdatering til en kritisk sårbarhed i forbindelse med fjerneksekvering af kode i Adobe Flash Player. En sårbarhed, der kan udnyttes blot ved at besøge et webside.
Det skriver en række medier.
Adobe oplyser, at hackere kan udnytte denne sårbarhed (CVE-2020-9746) ved at indsætte ondsindede strenge i HTTP-svaret, der leveres over TLS/SSL, når brugere besøger en webside.
Hvis det lykkedes at udnytte sårbarheden, kan det føre til et nedbrud, der gør det muligt for hackeren at fjerneksekvere kommandoer på en besøgendes computer. Disse kommandoer eksekveres uden behov for administratorrettigheder. For at løse denne sårbarhed skal brugerne installere Adobe Flash Player 32.0.0.445 så hurtigt som muligt.
Adobe stopper distributionen af Flash
Adobe Flash har længe været en kilde til sårbarheder, der gør det muligt for angribere at installere malware, eksekvere kommandoer og overtage computere, når de besøger ondsindede hjemmesider. Disse problemer slutter snart, da Adobe i samarbejde med Google, Mozilla, Microsoft og Apple trækker stikket på Adobe Flash ved udgangen af året.
Fra 31. december 2020 distribuerer eller opdaterer Adobe ikke længere Adobe Flash Player, og webbrowsere vil derfor heller ikke længere understøtte Adobe Flash Plugin’.
Udfasningen af Adobe Flash Player er en god nyhed, fordi det vil reducere angrebsfladen i webbrowsere og operativsystemer samt fjerne et indgangspunkt, der kunne blive udnyttede af hackere.
Links:
https://www.bleepingcomputer.com/news/security/adobe-fixes-critical-security-vulnerability-in-flash-player/
https://securityaffairs.co/wordpress/109448/hacking/adobe-flash-player-critical-flaw.html
https://www.securityweek.com/adobe-patches-critical-code-execution-vulnerability-flash-player