"0-day" i Adobe Flash

En "0-day"-sårbarhet (sårbarhet utan tillgänglig rättning) har identifierats i Adobe Flash[1]. De senaste versionerna till samtliga supporterade plattformar (win/mac: 18.0.0.194, linux: 11.2.202.468) samt tidigare versioner är sårbara.

Sårbarheten[2] utnyttjas aktivt enligt Trend Micro[3] och kan medge godtycklig kodexekvering på ett sårbart system. Adobe meddelar via sin webbplats att en rättning kommer under dagen (2015-07-08).

Attackvektorn som nämns är så kallade "drive-by-attacker". Det räcker med att en användare med en sårbar version av Adobe Flash medvetet, eller omedvetet besöker en webbsida som har riggats för att utnyttjas sårbarheten. Vid ett effektivt utnyttjande kan en angripare då köra godtycklig kod på användarens dator.

En möjlig temporär lösning är att inaktivera automatisk laddning av Adobe Flash-insticksmodul[4] som används. I skrivandets stund rullas nya versioner av flash ut ( win/mac: 18.0.0.203, linux: 11.2.202.481 ) som bör installeras skyndsamt[5].

Se länkarna nedan för mer information:

[1] https://helpx.adobe.com/security/products/flash-player/apsa15-03.html
[2] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5119
[3] http://blog.trendmicro.com/trendlabs-security-intelligence/unpatched-flash-player-flaws-more-pocs-found-in-hacking-team-leak/
[4] http://www.howtogeek.com/188059/how-to-enable-click-to-play-plugins-in-every-web-browser/
[5] https://get.adobe.com/flashplayer/