Flash Player позволяет атаковать Windows- и Linux-системы

Компания Macromedia предупредила пользователей, что в защите ее программы Flash Player, популярного плеера мультимедийных файлов, есть пробел, позволяющий атакующим исполнять код на системах под Windows и Unix. Одновременно специалисты обнаружили в том же плеере ошибку, позволяющую несанкционированно читать файлы, хранящиеся на локальном диске пользователя.

Ошибки считаются серьезными ввиду широкого распространения Flash Player. По оценкам Macromedia, свыше 90% ПК способны воспроизводить Flash-контент. Уязвимость с исполнением файлов, обнаруженная компанией EEye Digital Security, приводит к переполнению буфера Flash Player при использовании модифицированного заголовка видеофайлов SWF. Macromedia отмечает, что такие заголовки можно создавать только методом ручной модификации файла при помощи инструмента двоичного редактирования; специальному инструментарию для создания Flash-контента это не под силу.

Баг проявляется во всех версиях Flash Player для Windows и Unix-платформ до версии 6,0,40,0. Браузер для этого не требуется — он может сработать с любым приложением, способным читать встроенные SWF-файлы, в том числе в электронных письмах и IM-сообщениях. В последней версии программы, доступной на веб-сайте Macromedia, эта ошибка исправлена.

В отдельном предупреждении, распространенном на прошлой неделе, нидерландский программист Йельмер Куперус (Jelmer Kuperus) сообщает об ошибке в механизме XML Flash Player 6, а возможно и других версий, позволяющей злоумышленникам считывать файлы с жесткого диска пользователя. По его словам, атакующий может применить разные методы обмана браузера, чтобы заставить его отображать локальные файлы. Этот баг исправлен в версиях 6,0,47,0 и выше.