به‌روزرسانی امنيتی فلش‌پلير برای وصله‌کردن چهار آسيب‌پذيری مهم

دوشنبه ۲۱ خرداد ۱۳۹۷
Adobe چهار آسیب‌پذیری امنیتی در فلش‌پلیر را وصله کرد که یکی از آن‌ها، یک آسیب‌پذیری روز صفرم است که به‌طور فعال در اینترنت مورد سوء‌استفاده قرار می‌گیرد.
مرکز آپا شریف
SUT-APA-LOGO

Adobe چهار آسیب‌پذیری امنیتی در فلش‌پلیر را وصله کرد که یکی از آن‌ها، یک آسیب‌پذیری روز صفرم است که به‌طور فعال در اینترنت مورد سوء‌استفاده قرار می‌گیرد.
به‌روزرسانی Adobe، آسیب‌پذیری های بحرانی CVE-2018-4945، CVE-2018-5000، CVE-2018-5001 و CVE-2018-5002 را در نسخه‌ی 29.0.0.171 و نسخه‌های پیشین فلش‌پلیر، شامل نسخه‌های ویندوز، مک، لینوکس و سیستم‌عامل کروم، اصلاح می‌کند.
با توجه به بولتن امنیتی Adobe، CVE-2018-4945 یک نوع اختلال گونه (type confusion) و CVE-2018-5002 یک آسیب‌پذیری سرریز بافر مبتنی بر پشته است که هر دوی آن‌ها اجرای کد دلخواه را ممکن می‌سازند. CVE-2018-5000 و CVE-2018-5001 نیز باعث افشای اطلاعات می‌شوند.
در میان این آسیب‌پذیری‌ها، Adobe در مورد CVE-2018-5002 هشدار داده است. این آسیب‌پذیری به‌طور مستقل توسط چند شرکت امنیتی (ICEBRG، Tancent و Qihoo 360) کشف و گزارش شد.
CVE-2018-5002 به‌طور گسترده در اینترنت وجود دارد، اما در حملات محدود و هدفمند، علیه کاربران ویندوز مورد استفاده قرار می‌گیرد. این حملات، از اسناد آفیس دارای محتوای فلش‌پلیر مخرب استفاده می‌کنند که از طریق پست الکترونیک منتشر می‌شوند.

کاربران می‌توانند برای بررسی نسخه‌ی فلش‌پلیر نصب‌شده بر روی سیستم خود، به صفحه‌ی About Flash Player دسترسی پیدا کنند یا بر روی محتوای در حال اجرا در فلش‌پلیر کلیک راست کرده و «درباره‌ی Adobe» را از فهرست انتخاب کنند. در صورتی که کاربر از مرورگرهای متعددی استفاده می‌کند، باید این‌کار را برای هر مرورگری که در سیستم وی نصب شده است، انجام دهد.
این شرکت به کاربرانی که از Adobe Flash Player Desktop Runtime برای ویندوز، macOS و لینوکس استفاده می‌کنند، توصیه می‌کند تا از طریق مکانیزم به‌روز‌رسانی درون محصول یا با مراجعه به مرکز دانلود Adobe Flash Player، آن‌را به Adobe Flash Player 30.0.0. 113 به‌روزرسانی کنند.
فلش‌پلیر نصب‌شده با گوگل کروم، به‌طور خودکار به آخرین نسخه‌ی گوگل کروم افزوده خواهد شد که شامل Adobe Flash Player 30.0.0.113 برای ویندوز، macOS، لینوکس و سیستم‌عامل کروم است. فلش‌پلیر نصب‌شده با مایکروسافت Edge و اینترنت اکسپلورر 11 برای ویندوز 10 و 8.1 نیز به‌طور خودکار به آخرین نسخه به‌روزرسانی خواهد شد که شامل Adobe Flash Player 30.0.0.113 است.

این اولین آسیب‌پذیری روز صفرم فلش‌پلیر در سال جاری نیست. این افزونه همواره با چالش‌های بسیاری روبه‌رو بود. به همین دلیل شرکت Adobe، سال گذشته اعلام کرد که پایان عمر فلش‌پلیر در سال 2020 خواهد بود.
این شرکت به انتشار رفع نواقص امنیتی برای فلش‌پلیر ادامه خواهد داد، تا زمانی که شرکت‌ها یک راه‌حل بهتر را جایگزین آن کنند.