شماره: IRCNE2015012412
تاريخ: 08/11/93
شركت ادوبي در سه روز گذشته شروع به قرار دادن اصلاحيه فلشپلير براي كاربراني كرده است كه بهروز رساني خودكار را فعال كردهاند. اين اصلاحيه يك آسيبپذيري را كه توسط هكرها مورد سوء استفاده قرار گرفته بود ترميم مينمايد.
كد سوء استفاده از اين آسيبپذيري با كيت سوء استفاده Angler مجتمع شده است. اين كيت ابزاري است كه توسط مجرمان سايبري براي اجراي حملات drive-by-download و به طور خاص از طريق تبليغات مخرب كه بر روي وبسايتهاي معتبر نمايش داده ميشوند مورد استفاده قرار ميگيرد.
اين آسيبپذيري كه تحت عنوان CVE-2015-0311 شناسايي ميشود، كاربراني را كه فلشپلير را در موزيلا و تمامي نسخههاي IE در سيستمهاي ويندوز 8.1 و نسخههاي قديميتر ويندوز فعال كردهاند، تحت تأثير قرار ميدهد. پلاگين فلشپلير با كروم نيز مجتمع ميگردد، اما مكانيزم sandbox امنيتي اين مرورگر از اين سوء استفاده جلوگيري ميكند.
ادوبي در راهنمايي امنيتي روز شنبه خود نوشت كه كاربراني كه بهروز رساني خودكار را براي فلشپلير فعال كردهاند، نسخه 16.0.0.296 را از روز 24 ژانويه به تدريج دريافت ميكنند.
اين شركت همچنين اعلام كرد كه نسخه جديد فلشپلير را در هفته براي دانلود در دسترس قرار خواهد داد. حتي اگرچه هنوز اين عرضه به طور رسمي اعلام نشده است، اما نسخه جديد هم اكنون نيز در سايت ادوبي در دسترس قرار دارد.
اين بهروز رساني پس از عرضه يك نسخه ديگر فلشپلير در هفته گذشته كه يك آسيبپذيري ديگر را اصلاح ميكرد، انجام شده است. آسيبپذيري مذكور با شناسه CVE-2015-0310 شناسايي ميشود.
كاربران همچنين ميتوانند با فعال كردن ويژگي click-to-play در مرورگرها كه از اجراي خودكار محتواي مبتني بر پلاگين بدون مجوز كاربر جلوگيري ميكند، از خود محافظت نمايند.
- 2