Adobe tambalan bug flash, penyerang menargetkan pengguna firefox

Adobe menambal tiga kelemahan keamanan baru di Flash Player yang hampir ada di mana-mana, di mana dua sudah dieksploitasi di alam liar. Penyerang secara khusus menargetkan pengguna Mozilla Firefox, kata perusahaan itu.

Dua kerentanan zero-day, CVE 2013-0643 dan CVE 2013-0648, sedang dieksploitasi dalam serangan yang ditargetkan di mana pengguna ditipu untuk mengklik tautan ke situs web yang menyimpan file Flash berbahaya, kata Adobe dalam penasehat keamanannya yang dirilis Selasa. Perusahaan tidak memuji organisasi atau peneliti mana pun yang menemukan kerentanan zero-day, tetapi mengkredit IBM X-force karena melaporkan lubang keamanan ketiga.

Insinyur keamanan Adobe di RSA Conference juga menolak memberikan informasi tambahan apa pun.

"Eksploitasi untuk Cve 2013-0643 dan CVE 2013-0648 dirancang untuk menargetkan browser Firefox, " kata Adobe dalam penasehatnya.

Penyerang dapat memicu kerentanan untuk menyebabkan Flash Player rusak dan mendapatkan kendali jarak jauh dari komputer, kata Adobe. Bug zero-day terkait dengan masalah izin dengan kotak pasir Flash Player Firefox dan kelemahan dalam fitur ExternalScript Interpretasi ActionScript, yang dapat dieksploitasi untuk mengeksekusi kode berbahaya. Bug ketiga, yang saat ini belum dieksploitasi, bug adalah kerentanan buffer overflow dalam layanan broker Flash Player, dan dapat digunakan untuk mengeksekusi kode berbahaya, kata Adobe.

Pembaruan mempengaruhi semua versi Flash pada Windows, Mac OS X, dan Linux. Pengguna dapat mengunduh versi terbaru dari situs web Adobe, atau mengaktifkan pembaruan latar belakang dan membiarkan perangkat lunak mengambil versi itu secara otomatis. Google dan Microsoft akan memperbarui Flash pada Chrome dan Internet Explorer 10 (untuk Windows 8) secara terpisah.

Pembaruan Flash ini adalah patch out-of-band kedua untuk Flash Player bulan ini, patch Adobe ketiga di bulan Februari, dan patch keempat yang dirilis pada 2013 sejauh ini.

Sudah hampir setahun sejak Adobe mengaktifkan pembaruan automatis untuk Flash dan Reader, dan laju pembaruannya luar biasa, Brad Arkin, direktur senior keamanan dan privasi di Adobe, mengatakan kepada SecurityWatch di RSA Conference. Model sebelumnya di mana pengguna diminta untuk mengunduh pembaruan terbaru tidak cukup untuk membuat pengguna benar-benar menambal Flash Player, kata Arkin. Dengan beralih ke pembaruan latar belakang, tingkat keberhasilan menjadi signifikan.

Untuk melihat semua posting dari cakupan RSA kami, lihat halaman Tampilkan Laporan kami.