Обнаружена уязвимость в коде приложения Flash Player компании Macromedia

05 марта 2003
[05.03.2003]

Серьезная уязвимость обнаружена в популярном во всем мире программном обеспечении Flash Player компании Macromedia , отчет о ней опубликован в бюллетене компании MPSB03-03 3 марта 2003 г.

Уязвимость обнаружена в версии Flash Player 6 и, на манер градации уязвимостей, применяемых компанией Microsoft, ей присвоен статус "критической".

Flash является наиболее распространенным форматом, используемым для создания анимации веб-страниц. Бесплатно распространяемая Flash Player была выпущена Macromedia в 2002 г. и, по оценкам компании, была установлена приблизительно на 98 процентах персональных компьютеров по всему миру, причем на трех четвертях из них установлена именно версия Flash Player 6, что составляет приблизительно 375 миллионов компьютеров.

Хотя на момент публикации бюллетеня компания не получала ни одного извещения от пользователей, пострадавших от данной уязвимости, в публикуемом документе компания настойчиво призывает своих пользователей немедленно установить новую версию Flash Player 6.0.79.0. Расположенный на сайте Macromedia кумулятивный патч закрывает не только вновь обнаруженную уязвимость, но и другие ошибки в программном обеспечении Flash Player, о которых компания заявляла на протяжении всего года с момента выпуска версии 6.

Уязвимым в данном случае является механизм защиты (так называемая "песочница" - sandbox), включенный в состав виртуальной Java-машины, который гарантирует безопасное исполнение полученного из Сети Flash-кода в рамках изолированной среды, без возможности доступа к пользовательским файлам на компьютере. В случае успешного использования вновь обнаруженной уязвимости нападающий получает возможность запустить на компьютере пользователя любой вредоносный код вне этой "песочницы".

254
;