Adobe przy współpracy z Kaspersky Lab opublikowało biuletyn bezpieczeństwa dla luki na Adobe Flash Player o nomeklaturze CVE-2014-0515, która dotyczy przepełnienia buforu. 

Biuletyn APSB14-13 identyfikuje problem przepełnienia bufora, który wpływa na różne wersje oprogramowania Adobe Flash Player na różnych platformach softwarowych. Wykorzystanie tej krytycznej luki może pozwolić atakującemu na zdalne wykonanie dowolnego kodu. Adobe potwierdziło, że wykorzystywanie tej luki została zgłoszona na dziko. Dalsze szczegóły wskazują, że exploit jest wykorzystywanyo w atakach ukierunkowanych.

Następujących wersji programuAdobe Flash Player są podatne:

  • Adobe Flash Player 13.0.0.182 i jego wcześniejsze wersje dla systemu Windows
  • Adobe Flash Player 13.0.0.201 i jego wcześniejsze wersje dla komputerów Macintosh
  • Adobe Flash Player 11.2.202.350 i wcześniejsze wersje dla systemu Linux

System wykrywania heurystycznego wbudowany w produkty Kaspersky Lab zablokował ataki prowadzone z użyciem nieznanego dotychczas błędu w zabezpieczeniach aplikacji Adobe Flash Player. Badacze z Kaspersky Lab zidentyfikowali lukę służącą do przeprowadzania ataków w ramach legalnej strony rządowej, która pierwotnie powstała w celu gromadzenia skarg obywateli w jednym z krajów Bliskiego Wschodu.

W połowie kwietnia, podczas analizy danych pochodzących z chmury Kaspersky Security Network, eksperci z Kaspersky Lab wyryli nieznany dotychczas atak. Po szczegółowym badaniu okazało się, że wykorzystuje on nieznaną wcześniej lukę w popularnym oprogramowaniu Adobe Flash Player, a dokładniej w module Pixel Plender wykorzystywanym do przetwarzania filmów i zdjęć.

Dalsza analiza wykazała, że ataki były przeprowadzane z użyciem strony stworzonej w 2011 r. przez syryjskie Ministerstwo Sprawiedliwości w celu umożliwienia obywatelom składania zażaleń dotyczących naruszeń prawa. Eksperci z Kaspersky Lab podejrzewają, że atak został zaprojektowany w celu uderzenia w syryjskich decydentów skarżących się na rząd.

Eksperci z Kaspersky Lab wykryli łącznie dwa rodzaje ataków, które wykorzystywały inny kod.

„Pierwszy atak był raczej prymitywny, natomiast drugi wykorzystywał wtyczkę Cisco MeetingPlace Express Add-In, która standardowo służy do pracy grupowej, a dokładniej do wspólnego przeglądania dokumentów i zdjęć. Wtyczka ta jest całkowicie legalna, jednak atakujący wykorzystali ją jako narzędzie szpiegowskie. Co więcej, wykryliśmy, że atak ten był skuteczny tylko na konkretnej wersji Flash Playera i wtyczki Cisco, co może oznaczać, że cyberprzestępcy celowali w bardzo wąskie grono ofiar”, tłumaczy Wiaczesław Zakorzewski, menedżer grupy odpowiedzialnej za badania nad lukami w zabezpieczeniach, Kaspersky Lab.

Natychmiast po wykryciu ataku specjaliści z Kaspersky Lab skontaktowali się z przedstawicielami Adobe, by poinformować ich o nieznanej luce. Po dokonaniu analizy informacji dostarczonych przez Kaspersky Lab eksperci z Adobe potwierdzili istnienie nieznanej luki CVE-2014-0515 i przygotowali usuwającą ją łatę, która jest już dostępna do pobrania na stronie Adobe.

źródło: Adobe, Symantec, Kaspersky Lab

 

AUTOR:

Adrian Ścibor

Podziel się