Pratite nas preko RSS-aAdobe dve godine odlaže objavljivanje zakrpe za opasan propust u Shockwave Player-u
Vesti, 20.12.2012, 08:32 AM
US-CERT (U.S. Computer Emergency Readiness Team) je upozorio na opasni sigurnosni propust u Adobe Shockwave Player-u koji može biti iskorišćen za instaliranje zlonamernog koda. Ono što je zanimljivo je da nije reč o novootkrivenom bagu, već o propustu na koji je US-CERT upozorio kompaniju Adobe pre više od dve godine, u oktobru 2010., ali u kompaniji, uprkos tome, ne planiraju da objave zakrpu pre februara 2013. godine.
Shockwave je plug-in brauzera koji zahtevaju neki web sajtovi. Do problema može doći ako napadaču uspe da ubedi korisnika da pogleda posebno napravljeni Shockwave sadržaj (web stranicu ili HTML email poruku ili atačment), koji će omogućiti napadaču da sa korisničkim privilegijama pokrene zlonamerni kod.
Program instalira ekstenziju Xtra sa digitalnim potpisom Adobe-a ili Macromedia-e, koja omogućava napadačima napade na staru i ranjivu Xtra.
Kada Shockwave video pokuša da koristi Xtra, on će je preuzeti i instairati ukoliko je neophodno. Ako Xtra ima digitalni potpis Adobe-a ili Macromedia-e, ona će se instalirati automatski, bez bilo kakvog učešća korisnika u tom procesu. Zbog toga što se lokacija sa koje Shockwave preuzima Xtra nalazi u samom Shockwave videu, to omogućava napadaču da hostuje staru, ranjivu Xtra koja može biti instalirana i napadnuta tokom gledanja Shockwave videa.
Portparolka kompanije Adobe potvrdila je da je US-CERT upozorio kompaniju na propust u Shockwave Player-u u oktobru 2010., ali da Adobe nema informacija da postoje exploiti za ovu ranjivost niti da je bilo napada u kojima je ona korišćena. Ona je dodala da će Adobe rešiti problem objavljivanjem sledeće verzije Shockwave Player-a, koje je zakazano za februar 2013.
Shockwave je kao i Java veoma bagovit program koji je installiran na mnogim računarima ali nije neophodan za svakodnevno surfovanje internetom. Korisnicitreba da koriste najnoviju verziju Shockwave ili da uklone program ukoliko im nije potreban. US-CERT je preporučio korisnicima da ili ograniče pristup Director fajlovima, ili da koriste NoScript u Firefox-u i stave na belu listu web sajtove koji mogu da koriste Shockwave Player ili da onemoguće Shockwave Player Active X kontrolu u Internet Exploreru.
Izdvojeno
Kabl za punjenje iPhonea može se koristiti za hakovanje i infekciju računara
Kada kupite iPhone dobijate i jedan standardni kabl za punjenje. Mnogi ljudi posežu za alternativama dostupnim na tržištu kada izgube ili oštete o... Dalje
Zbog ove četiri ranjivosti u Windowsu, odmah preuzmite zakrpe
Ako koristite bilo koju podržanu verziju Windowsa odmah instalirajte najnovije sigurnosne ispravke. Windows ima četiri do sada nepoznate kritične r... Dalje
Evropska centralna banka potvrdila hakovanje sajta i kompromitovanje podataka
Evropska centralna banka (ECB), centralna banka 19 evropskih zemalja koje su prihvatile evro, ugasila je svoj kompromitovani web sajt pošto je otkril... Dalje
Uprkos kritikama, Microsoft kaže da će ljudi i dalje preslušavati snimke korisnika Skypea i Cortane
Kao i sve druge velike tehnološke kompanije koje imaju digitalne pomoćnike ili koje korisnicima nude uslugu razgovora, ispostavilo se da i Microsoft... Dalje
Canon DSLR fotoaparati mogu daljinski biti zaraženi ransomwareom
Ransomware postaje sve raširenija i ozbiljnija pretnja, a fokus napadača prelazi sa računara na pametne telefone i druge pametne uređaje povezane ... Dalje