Fontos hibajavító csomagot adott ki az Adobe, amit azonnal érdemes telepíteni. Már csak azért sem érdemes a frissítést halogatni, mert többször kiderült, az Adobe sokat csepült termékében rendszeresen felbukkannak olyan nulladik napi sebezhetőségek, melyeket a kiberbűnözők már használnak is.

A Flash-re az Adobe minden igyekezete ellenére sokan úgy tekintenek, mint aminek az alkalmazása nemcsak IT-biztonsági, hanem súlyos üzleti kockázatokat is jelent. Tavaly a Facebook már a befektetői tájékoztatójában is ekként utalt rá.

Ismét egy nulladik napi...

Egy hete a Kaspersky Lab azonosított egy olyan támadást, amely nulladik napi, azaz ismert, de nem javított sebezhetőségre épült. A ScarCruft csoportnak nevezett csapathoz két kiterjedt APT (Advanced Persistent Threat) támadássorozatot is kötöttek. A Daybreak-nek nevezett támadássorozat, amely a kutatók szerint március óta zajlik, egyértelműen az Adobe egy nulladik napi sebezhetőségéhez kötöttek.

A támadásokat – melyeknek kormányzati szerveket éppúgy áldozatul estek, mint kisebb cégek többek között az USA-ban, Oroszországban, Romániában, Indiában, Kínában és Dél-Koreában –, egy titkosítva terjesztett exploit kóddal követték el, ami így meg tudta kerülni a védelmi vonalakat. Az Adobe végül múlt hét végén reagált, és a kiadott egy frissítést, mellyel összesen 36 biztonsági rést foltozott be. Ezek között több olyan is van, ami kritikus besorolást kapott, azaz jogosulatlan távoli kódfuttatásra is lehetőséget ad. Ezeket többnyire preparált Flash tartalmakkal lehet kihasználni.

Ha még nem telepítette, haladéktalanul tegye fel a megfelelő friss verziót. A windowsos gépeken és Mac-eken a 22.0.0.192-es és a 18.0.0.360-as, Linuxon pedig a 11.2.202.626-as verzió tartalmazza a javításokat.

Meddig lesz még velünk?

Már tavaly komoly össztűz zúdult az Adobe Flashre. A Mozilla és a Google is lépéseket tett afelé, hogy fokozatosan kivezesse a az Adobe technológiáját, és helyére a HTML5-öt hozza be. Idén februárban a Google konkréttá is tette: nyár közepétől az AdWordsből és a DubleClick Digital Marketing rendszerből is kitiltják a Flash-alapú tartalmakat.

Májusban publikálták azt a tervezetet, amely szerint a Chrome-ban a HTML5 lesz az alapértelmezett, és a Flasht csak a felhasználó külön kérésére indítja el. Persze ebben is vannak kivételek, mert a nagy forgalmú oldalaknak – például a Facebooknak, a YouTube-nak vagy az Amazonnak még egy év türelmi időt adnak (a kivételeket egy beépített whitelist tartalmazza).

Egyébként pedig marad a tavaly kitűzött június 30-i határidő, ameddig még a Google hirdetési rendszerei is befogadnak Flash-alapú tartalmakat, utána pedig még fél évig jelenítik meg. Jövő év január 2-tól viszont csak a HTML5-öt lehet használni. Ez utóbbinak komoly előnye, hogy bármilyen felületen (desktop, tablet, mobil) jól megjeleníthető.

A HTML5 pozícióját erősíti az is, hogy az online hirdetések iparági szabványait gondozó IAB tavaly egyértelműen elkötelezte magát mellette. Ez azért is volt fontos, mert a Flash legnagyobb támogatói épp a hirdetési piac szereplői voltak. Azaz hiába ágáltak a technológia ellen a legnagyobb cégek, a Flash elfogadottsága ha folyamatosan is, de meglehetősen lassan csökkent.

Ennek persze megvoltak az üzleti okai: az AdAge egy tavaly korai őszi elemzése szerint ha a nagy piaci részesedéssel bíró böngészőkben egyik pillanatról a másikra letiltanák a Flash-bővítményeket, az interneten futó hirdetések 84 százaléka elérhetetlenné válna. A hirdetési hálózatok is lassan reagáltak, kevesen vállaltak be olyan radikális lépést, mint az Amazon, melynek hirdetési hálózata tavaly óta nem fogad be Flash-tartalmakat.

A Google azonban elég erős az online hirdetési piacon, hogy kellő határozottsággal akár egyedül is gyorsan átszabja a piacot. Ráadásul nincs is egyedül.