انتشار به‌روزرسانی مهم Adobe Flash Player: آسیب‌پذیری اجرای کد دلخواه (APSB18-44)

انتشار به‌روزرسانی مهم Adobe Flash Player: آسیب‌پذیری اجرای کد دلخواه (APSB18-44)

خلاصه آسیب‌پذیری: یک آسیب‌پذیری در Adobe Flash Player کشف شده است که می‌تواند منجر به اجرای کد دلخواه شود. Adobe Flash Player یک پخش‌کننده چندرسانه‌ای و برنامه کاربردی است که به منظور بهبود تجربه کاربر در هنگام بازدید از صفحات وب و یا خواندن پیام‌های ایمیل مورد استفاده قرار می‌گیرد. بهره‌برداری موفق از این آسیب‌پذیری منجر به کنترل سیستم آسیب‌دیده می‌شود. بسته به امتیازات مربوط به برنامه مهاجم می‌تواند برنامه‌ای را نصب کند، به داده‌ها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند. اگر این برنامه در سیستم با حقوق کاربری کمتری پیکربندی شده باشد، بهره‌برداری از شدیدترین این آسیب‌پذیری‌ها می‌تواند تأثیر کمتری داشته باشد، مگر اینکه با حقوق administrative پیکربندی شود. کانال پایدار برای ویندوز، مک و لینوکس به 70.0.3538.110 به‌روزرسانی شده است. نسخه‌های قبل از 70.0.3538.110 گوگل کروم تحت تأثیر این آسیب‌پذیری قرار دارند. سطح ریسک این آسیب‌پذیری برای سازمان‌های دولتی و خصوصی در حد متوسط به بالا است. سیستم‌های تحت تأثیر: • Adobe Flash Player Desktop Runtime برای ویندوز، مکینتاش و لینوکس نسخه 31.0.0.148 و نسخه‌های قبل از آن • Adobe Flash Player برای گوگل کروم نسخه 31.0.0.1 و نسخه‌های قبل از آن • Adobe Flash Player برای Microsoft Edge و Internet Explorer 11 نسخه 31.0.0.148 و نسخه‌های قبل از آن توصیه‌ها • به کاربران Adobe به شدت توصیه می‌شود تا آن را به آخرین نسخه به روزرسانی کنید. • فعال کردن click-to-play برای تعاملات کاربر قبل از فعال‌سازی محتوای SWF برای Internet Explorer 7 و قبل از آن. • فعال کردن دید محافظت شده read-only برای Microsoft Office. • برای کاهش اثر حملات، تمام نرم‌افزارها را با سطح دسترسی پایین اجرا کنید.(کاربری غیر از administrative) • به کاربران خود یادآوری کنید که از وب‌سایت‌های غیرقابل اعتماد بازدید نکرده و همچنین لینک‌هایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند. • اطلاع‌رسانی و آموزش کاربران در مورد خطرات لینک‌ها یا فایل‌های پیوست شده در ایمیل‌ها به ویژه از منابع غیرقابل اعتماد • رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستم‌ها و سرویس‌ها