"0-day" i Adobe Flash (version 16.0.0.296 och tidigare)

En "0-day"-sårbarhet (sårbarhet utan tillgänglig rättning) har identifierats i Adobe Flash[1]. Den senaste versionen (16.0.0.296), samt tidigare versioner är sårbara.

Sårbarheten utnyttjas aktivt enligt Trend Micro[2] och kan medge godtycklig kodexekvering på ett sårbart system. Adobe meddelar via sin webbplats att en rättning kommer någon gång under nuvarande vecka (vecka 6).

Attackvektorn som nämns är så kallade "drive-by-attacker". Det räcker med att en användare med en sårbar version av Adobe Flash medvetet, eller omedvetet besöker en webbsida som har riggats för att utnyttjas sårbarheten. Vid ett effektivt utnyttjande kan en angripare då köra godtycklig kod på användarens dator.

En möjlig temporär lösning är att avaktivera den Adobe Flash-insticksmodul som används. Den kan sedan åter aktiveras när Adobe har rättat sårbarheten.

Se länkarna nedan för mer information:

[1] https://helpx.adobe.com/security/products/flash-player/apsa15-02.html
[2] http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-new-adobe-flash-zero-day-exploit-used-in-malvertisements/
[3[ http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0313