פגיעות הפלאש של אדובי והפרטיות שלכם

פירצה בנגן הפלאש וקורא קבצי ה-PDF של אדובי עשויה לאפשר לפורצים זדוניים להשתלט על מחשבכם, והיא פוגעת כמעט בכל מערכות ההפעלה הקיימות בשוק. איך תגנו על מחשבכם? כל הפתרונות עבורכם

בשישי האחרון פרסמה חברת אדובי אזהרת אבטחה למשתמשי נגן הפלאש בגרסתו המעודכנת ביותר 10.0.45.2, וכן תת-גרסאות ב-9 Adobe Acrobat ו- Adobe Acrobat Reader. הפגיעות משפיעה על מחשבים עם כל סוג של מערכת הפעלה כמעט: חלונות, מק, לינוקס ואפילו סולריס. לדברי אדובי מדובר בפגיעות חדשה וחמורה מאוד שפורצים כבר החלו משתמשים בה לצורך השתלטות על מחשבי קובנות תמימים. תת-גרסאות של אקרובט 8 אינן פגיעות לפירצה זו, לדברי החברה.

אדובי פרסמו בהודעתם שהפגיעות קיימת לא רק ביישום פלאש, אלא גם בקובץ authplay.dll המותקן אוטומטית על מחשבים המריצים חלונות, לצד Abobe Acrobat ו-Adobe Acrobat Reader. תוסף זה מאפשר פתיחה של תכני פלאש במסמכי PDF.

פירצה קוראת להאקר

באופן אירוני משהו, ההודעה על פגיעות קריטית זו התפרסמה רק ימים אחדים לאחר שסגן נשיא החברה לאבטחה ופרטיות, בראד ארקין, אמר שהארגון מודע לחיבה של פורצים לשימוש במוצרי החברה להחדרת קוד עויין למחשבי משתמשים, והוסיף כי באדובי החלו להקדיש מאמצים לשיפור אבטחת התוכנות ברמת הקוד. אכן, קל לנחש שיישום כה פופולרי, עם גרסה עבור כמעט כל מערכת הפעלה בשוק, יהווה מטרה נאה עבור האקרים. יתרה מכך, רוב התוכן האינטראקטיבי ברשת מבוסס כיום על פלאש.

ארקין “השוויץ” גם שעל מתכנתי החברה מוטל דד-ליין של עד 15 יום לפרסום תיקון לכל פגיעות שתימצא, אז במידה ומר’ ארקין רוצה לשמור על עבודתו והחברה על המוניטין שלה, אנו צפויים לראות תיקון לקראת ה-19 ביוני.

איך תגנו על עצמכם

למרבה הצער, תוכנות ההגנה השונות (חומת אש, אנטי-וירוס, אנטי-רוגלה וכדומה) גם אם הגדרותיהן מעודכנות ביותר, אינן יכולות להגן מפני פגיעויות zero-day, אלו שעם פרסומן כבר קיימות ברחבי הרשת ושימוש בהן כבר ניצפה על ידי חוקרי האבטחה.

במידה והמחשב שלכם, בדומה לרוב הארי של המחשבים האישיים בעולם, פועל על מערכת חלונות של מיקרוסופט, תוכלו פשוט למחוק או לשנות את שם הקובץ authplay.dll אך קחו שבחשבון שניסיון לפתוח קובץ PDF המכיל תכני פלאש באמצעות אקרובט יגרום לתוכנה לקרוס. אלטרנטיבה נוספת המומלצת על ידי אדובי היא התקנת גרסת הטרום-הפצה (release candidate) של פלאש בגירסה 10.1, שעודנה נמצאת בפיתוח אך לדברי החברה, אינה רגישה לפגיעות זו.

תוכלו לבדוק באיזו גרסת נגן פלאש משתמש המחשב שלכם בעמוד מיוחד של אדובי. חשוב לציין שבמידה ויש לכם מספר דפדפנים מותקנים (כי מי באמת משתמש רק באינטרנט אקספלורר?) עשויות להיות לכם מספר גרסאות שונות של נגן הפלאש על גבי המחשב.

תוכלו למזער את הנזק הפוטנציאלי מקבצי PDF “מורעלים” על ידי שימוש בקורא PDF המאפשר חסימה של JavaScript וקישוריות של קבצים לכתובות אינטרנט, כמו למשל FoxIt. אמנם זה לא יגן עליכם מהפגיעויות בנגן הפלאש, אך לכל הפחות, תהיו מוגנים מקבצי PDF המכילים קוד זדוני.

נחמה נוספת היא השכיכות הנמוכה של תקיפות המנצלות פגיעות זו שנצפו ברשת. אדובי דיווחו על שני מקרים בהן נתפס קובץ PDF המכיל נוצלה מסוג זה, למרות שלדברי חברת סימנטק, כמעט 50 אחוז מכל תקיפות הרשת כיום משתמשות בקבצי PDF “מורעלים” מסוג זה או אחר.

כל שנשאר לנו, למשתמשים, זה להמתין ל-HTML 5 שיגיע ויחליף את פלאש הפגיע יחסית במתן אפשרויות אינטראקטיביות לעמודי אינטרנט.

Avatar

אילנה ברודו

אשת המילה הכתובה וחובבת טכנולוגיה. גרפומנית, גיקית, גיימרית, בשלנית, ואפילו משוררת לעת מצוא. בימים עיתונאית רשת נעימת הליכות ובלילות לוחמת צדק דיגיטלי חסרת רחמים ובעלת לשון מושחזת היטב. לשעבר כתבת טכנולוגיה ב-ynet ו-walla!.

הגב

5 תגובות על "פגיעות הפלאש של אדובי והפרטיות שלכם"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
רן בר-זיק
Guest

אי אפשר להחליף את הפלאש בכזו קלות. במיוחד בכל מה שנוגע למשחקים.

Spoonbender
Guest

צודק רן בר-זיק. נראה שפלאש איתנו לעוד הרבה זמן, ולא HTML5 ולא SilverLight יעצרו אותו.

Garry
Guest

חברה אתם טועים בגדול, כל החברות הענק (מיקרוסופט, אפל ועוד) רוצות להעיף את פלאש
מה גם שהדור הבא של הדפדפנים (שבו לא נצטרך להתקין שום תוספים) נמצא תחת פיתוח מתמיד.
אני מאוד רוצה להאמין שפלאש יעלם בקרוב

בדיקת פוליגרף
Guest

תודה

אמיר דגן - פתרונות תוכנה מבוססי WEB
Guest

הפלאש לא ייעלם בקרוב.
כמו שרן אמר, יש תחומים שבהם לפלאש יש יתרון משמעותי על HTML5
מה שכן, לדעתי לא ישתמשו בפלאש כדי להציג סרטים

wpDiscuz

תגיות לכתבה: