ارائه‌ی یک وصله‌ی اضطراری برای آسیب‌پذیری روز صفرم فلش

ادوبی یک به‌روزرسانی خارج از محدوده را روز دوشنبه برای حل چندین آسیب‌پذیری بحرانی در فلش‌پلیر منتشر کرد، که شامل CVE-۲۰۱۵-۸۶۵۱ که در حال حاضر تحت حمله است نیز می‌شد.
این شرکت نرم‌افزاری اعلام کرد که این آسیب‌پذیری‌ها روی همه‌ی بسترها تاثیرگذار هستند و می‌توانند به یک مهاجم امکان در دست گرفتن کنترل یک سامانه‌‌ی آسیب‌ دیده را بدهد.
ادوبی جزئیات زیر را در مورد این آسیب‌پذیری‌ها در یک پست امنیتی در روز دوشنبه ارائه کرده است:
این به‌روزرسانی‌ها یک آسیب‌پذیری درهم‌ریختگی نوع که می‌توانست منجر به اجرای کد (CVE-۲۰۱۵۵-۸۶۴۴) شود را رفع کردند.
این به‌روزرسانی‌ها یک آسیب‌پذیری سرریز عدد صحیح را که می‌توانست منجر به اجرای کد شود را رفع کردند. (CVE-۲۰۱۵-۸۶۵۱)
این به‌روزرسانی‌ها آسیب‌پذیری‌های استفاده بعد از آزادسازی را که می‌توانستند منجر به اجرای کد شوند را رفع کردند. (CVE-۲۰۱۵-۸۶۳۴، CVE-۲۰۱۵-۸۶۳۵، CVE-۲۰۱۵-۸۶۳۸، CVE-۲۰۱۵-۸۶۳۹، CVE-۲۰۱۵-۸۶۴۰، CVE-۲۰۱۵-۸۶۴۱، CVE-۲۰۱۵-۸۶۴۲، CVE-۲۰۱۵-۸۶۴۳، CVE-۲۰۱۵-۸۶۴۶، CVE-۲۰۱۵-۸۶۴۷، CVE-۲۰۱۵-۸۶۴۸، CVE-۲۰۱۵-۸۶۴۹، CVE-۲۰۱۵-۸۶۵۰)
این به‌روزرسانی‌ها آسیب‌پذیری‌های مربوط به تخریب حافظه را که می‌توانستند منجر به اجرای کد شوند را نیز رفع کردند. (CVE-۲۰۱۵-۸۴۵۹، CVE-۲۰۱۵-۸۴۶۰، CVE-۲۰۱۵-۸۶۳۶، CVE-۲۰۱۵-۸۶۴۵)
ادوبی به جز عبارت «حملاتی با اهداف محدود» توضیح بیشتری در مورد حملاتی که از CVE-۲۰۱۵-۸۶۵۱ بهره‌برداری می‌کنند ارائه نداد.
یکی از سخن‌گویان این شرکت به SecurityWeek گفت که این حملات در این مورد به نظر می‌رسد که محدود به یک کمپین فیشینگ از طریق رایانامه باشند.
کاربران باید با استفاده از دستورالعمل‌های مشخص داده‌شده در پست مذکور در وب‌گاه ادوبی، محصولاتشان را به آخرین نسخه‌ به‌روزرسانی کنند.
چندین نفر و سازمان به علت اطلاع‌رسانی و همچنین همکاری با ادوبی در مورد این مشکلات پاداش دریافت کردند.
در اوایل ماه دسامبر، ادوبی تولیدکنندگان محتوا را تشویق کرد که برای تولید محتوا از استانداردهای جدید وب مانند HTML۵ استفاده کنند اما در مورد این‌که از فلش استفاده نکنند حرفی نزد، این نرم‌افزار به شدت آسیب‌پذیر است و در حملات بسیاری از با استفاده از آسیب‌پذیری‌های روز صفرم از آن بهره‌برداری شده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap