Adobe har kommet med en sikkerhetsfiks til Flash Player som fjerner tre alvorlige sårbarheter. To av sårbarhetene blir allerede utnyttet i aktive angrep.

Flash i Firefox er under angrep

Adobe haster ut sikkerhetsfiks.

Adobe kom i går med en sikkerhetsoppdatering til selskapets Flash Player. Denne fjerner tre sårbarheter (CVE-2013-0504, CVE-2013-0643 og CVE-2013-0648), hvorav de to sistnevnte allerede blir utnyttet i angrep. Angrepskoden skal være spesielt rettet mot brukere av Firefox og kan i verste fall gi angriperen kontroll over det berørte systemet. Angrepet utføres ved at nettleserbrukere lokkes til å klikke på en lenke som leder til en webside hvor angrepskoden er lagret i en Flash-basert applikasjon.

CVE-2013-0643-sårbarheten skyldes et rettighetsproblem i Flash Player Firefox-sandkassen. CVE-2013-0648-sårbarheten er lokalisert i ExternalInterface ActionScript og åpner for kjøring av vilkårlig, ondsinnet kode. CVE-2013-0504-sårbarheten er en buffer-overflytsfeil som også kan utnyttes til å kjøring av ondsinnet kode.

Selv om angrepene foreløpig er begrenset, bør alle som har Flash Player installert på pc-en, laste ned og installere oppdateringen.

Sikkerhetsoppdateringer er utgitt til Flash Player for både Windows, OS X og Linux. Windows- og Mac-brukere må oppdatere Flash Player til versjon 11.6.602.171 eller nyere. Linux-brukere må på sin side oppdatere til versjon 11.2.202.273 eller nyere.

Den nyeste versjonen av Flash Player tilbys også som oppdateringer av henholdsvis Internet Explorer 10 for Windows 8 og Chrome for alle de tre nevnte plattformene.

Til toppen