После множества обнаруженных в Adobe Flash уязвимостей нулевого дня Mozilla пошла на необычный шаг, отключив по умолчанию все версии Flash в своем браузере Firefox.

Это отключение временное, так как Adobe готовится закрыть две уязвимости во Flash, обнаруженные среди данных, утекших из Hacking Team на прошлой неделе. Обе уязвимости представляют собой баги использования памяти после освобождения, которые можно применить для удаленного запуска кода. Одна из уязвимостей содержится в ActionScript 3, в то время как другая кроется в компоненте BitMapData.

Эксплойты для этих уязвимостей были найдены среди данных, извлеченных из Hacking Team в ходе атаки, обнаруженной на прошлой неделе. Эксплойт для уязвимости в ActionScript 3 уже интегрирован в эксплойт-кит Angler, также есть модуль для него в Metasploit Framework. Это повышает опасность для пользователей, особенно для тех, кто склонен кликать по ссылкам, полученным от незнакомцев.

Как ожидается, Adobe пропатчит уязвимости во Flash на этой неделе, но пока Mozilla автоматически отключила все версии этого плагина в Firefox ради защиты своих пользователей.

«Все версии Adobe Flash Player в данный момент отключены по умолчанию до тех пор, пока Adobe не выпустит обновленную версию, в которой будут решены критические проблемы с безопасностью», — написано на сайте поддержки Mozilla.

Также в данных, украденных из Hacking Team, найдены второй и третий эксплойты нулевого дня для Flash. 6 июля исследователи обнаружили первый баг во Flash, используемый программным обеспечением Hacking Team для проникновения, его Adobe быстро пропатчила. Эксплойт и для этого бага был включен в эксплойт-киты, включая Angler, Neutrino и Nuclear.

Эксперты по безопасности в течение нескольких лет призывали пользователей отключить или убрать Flash со своих компьютеров из-за непрерывного потока уязвимостей. Этот парад багов сделал Flash крайне привлекательной целью для злоумышленников, которые понимают, что это одна из самых широко распространенных программ в Сети, что делает баги во Flash еще более ценными. Ввиду недавних событий сообщество информационной безопасности вновь начало призывать пользователей прекратить использовать Flash, и в воскресенье директор по информационной безопасности Facebook Алекс Стамос (Alex Stamos) заявил, что Flash себя изжил.

«Настало время Adobe анонсировать дату окончания службы Flash и попросить браузеры установить его отключение на этот день, — написал Стамос в Twitter. — Даже если эта дата наступит через 18 месяцев, это единственный способ распутать ситуацию и разом обновить экосистему».

Update

По сообщению The Register, Mozilla сняла блокировку Flash в Firefox, после того, как Adobe выпустила обновление, закрывающее уязвимости нулевого дня. Чад Винер, директор по управлению продуктом Mozilla, заявил журналистам: «Мы блокировали версии Flash, в которых были известные уязвимости, а когда Adobe выпустила свое обновление, оно автоматически распространилось, деблокируя Flash».

Категории: Уязвимости