Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Publicerad - Sårbarhet, Flash, Adobe, 0-day, Blixtmeddelande

Ytterligare en "0-day" i Adobe Flash

Under lördagsförmiddagen publicerades det ytterligare en "0-day"-sårbarhet (sårbarhet utan tillgänglig rättning). De senaste versionerna till samtliga supporterade plattformar (win/mac: 18.0.0.203, linux: 11.2.202.481) samt tidigare versioner är sårbara.

Sårbarheten (CVE-2015-5122) har letat sig in i vanliga ramverk och kan således antas utnyttjas aktivt, speciellt då den första sårbarheten som släpptes anammades mycket snabbt. Enligt FireEye som notifierade Adobe om sårbarheten är den i många avseenden väldigt lik den första sårbarheten som kom tidigare i veckan och medger precis som den godtycklig kodexekvering på ett sårbart system. Adobe meddelar via sin webbplats att en rättning kommer under vecka 29.

Attackvektorn som nämns är så kallade "drive-by-attacker". Det räcker med att en användare med en sårbar version av Adobe Flash medvetet, eller omedvetet besöker en webbsida som har riggats för att utnyttjas sårbarheten. Vid ett effektivt utnyttjande kan en angripare då köra godtycklig kod på användarens dator.

En möjlig temporär lösning är att inaktivera automatisk laddning av Adobe Flash-insticksmodul som används.

Se länkarna nedan för mer information:

CVE - CVE-2015-5122
CVE-2015-5122 - Second Adobe Flash Zero-Day in HackingTeam Leak
Security Advisory for Adobe Flash Player (APSA15-04)
How to Enable Click-to-Play Plugins in Every Web Browser