Спустя дни после первого общедоступного отчета о новой уязвимости в Adobe Flash, Adobe выпускает патч.Adobe просто, может казаться, не вздыхает спокойно когда дело доходит до безопасности его технологии Flash player. 14 октября Adobe выпустил предупреждение консультации о новой угрозе нулевого дня против ее Flash player, идентифицированного как CVE-2015-7645, который он с тех пор исправил.Несколько иронически первый общедоступный отчет о нападениях, использующих CVE-2015-7645, появился 13 октября, тот же день, что Adobe выпустил свое регулярное ежемесячное обновление для Flash player, исправив 13 различных CVEs.
Первоначально, план состоял в том, чтобы иметь патч на этой неделе для CVE-2015-7645, но Adobe смог ускорить свой процесс и поставил патч 16 октября.На его начальной консультации для CVE-2015-7645 Adobe кредитовал аналитика по угрозе Trend Micro Питера Пи из отчетности о проблеме. 13 октября Trend Micro публично сообщил, что обнаружил новую уязвимость нулевого дня Adobe Flash, которая использовалась в дикой природе группой хакера позади нападения Пешки Сторма.
Нападение Пешки Сторма было продолжающимся в течение нескольких месяцев и, как было известным, использовало уязвимости нулевого дня. В июле Oracle исправил CVE-2015-2590 дефект Java, который Пешка Сторм использовала в одном из его нападений.Trend Micro сообщил, что в новом нападении CVE-2015-7645, Пешка Сторм следовала за министерствами иностранных дел во всем мире с кампанией фишинга копья.Быстрый благоприятный поворот для CVE-2015-7645 патча нулевого дня является улучшением за историческое время отклика Adobe.
«Мы продолжаем иметь типичный цикл патча нулевого дня приблизительно пяти – семи дней, вниз от нашего цикла патча нулевого дня 2009 года 10 недель», сказала представительница Adobe Хизер Эделл eWEEK. «Это исправление было быстро, но у нас были другие, которые были исправлены в подобные периоды-времени-a, недавняя запись составляла 36 часов. Несколькими общими первичными факторами, которые влияют на время выпуска, является партнер и координация распределения».Оказывается, что, несмотря на то, что Adobe первоначально приписал Trend Micro открытие CVE-2015-7645, исследователь в области безопасности Натали Зилванових Проектного Нуля Google фактически сначала сообщила об уязвимости Adobe 29 сентября.«Я сообщил о Flash, 0-дневном (CVE-2015-7645) за две недели до того, как это было найдено в дикой природе», записал Сильванович в сообщении Твиттера.
На его консультации на патче CVE-2015-7645 Adobe приписывает Пи Trend Micro обнаружение и анализ использования и кредиты Google Project Zero’s Silvanovich для исследования уязвимости.В дополнение к проблеме CVE-2015-7645 Adobe исправляет две дополнительных проблемы, о которых сообщает Сильванович, идентифицированный как CVE-2015-7647 и CVE-2015-7648.«Эти обновления разрешают уязвимости беспорядка типа, которые могли привести к выполнению кода», заявляет Adobe на его консультации.
Проектный Нуль Google имеет 90-дневный срок раскрытия. После 90 дней, если поставщик не исправил дефект, о котором сообщают, Google публично раскроет уязвимость.Google помогал Adobe защитить Flash player с Google Project Zero, последовательно являющимся главным источником раскрытия уязвимости Adobe через многократные наборы обновлений Adobe Flash Player в этом году. Google Project также предоставляет превентивные рекомендации Adobe, чтобы помочь защитить Flash.
Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.