... és egy csipet Java a változatosság kedvéért

Flash

Az Adobe tegnap minden platformon frissítette a Flash Playert. A két javított sérülékenységet aktívan kihasználják célzott és kiterjedt támadások során Windows és Mac felhasználókkal szemben is! Érdekes kérdéseket vet fel, hogy a célzott támadások során használt exploitokat Word fájlokba ágyazva terjesztették, de a lejátszást makróval triggerelték, ami minden rendes konfigon felhasználói megerősítést kér - ugyanez a feladat Office 2010 előtti célpontokkal szemben csendben megoldható.

Utóbbi problémára reagálva az Adobe a következő Flash kiadásban új védelmet vezet be, ami ellenőrzi, hogy a programot régebbi, védett móddal nem rendelkező Office verzión keresztül indították-e. Amennyiben igen, a lejátszó felhasználói megerősítést kér majd az adatfolyam megnyitása előtt. 

Az IE10 júzerek a frissítést már Windows Update-en kapják.

Java

Úgy tűnik, az Oracle elfelejtett betenni néhány frissítést a február elejére előrehozott frissítésébe, így még egy foltot kapunk az eredeti, február 19-i időpontban is.

Végszó

Érdemes összevetni a Java mostani botladozásait az Adobe (vagy akár a Microsoft) korábbi bughullámaival: Flash/PDF biztonság téren igen komoly előrelépés történt az elmúlt években, ezért a gyártó mindenképpen elismerést érdemel. Megjegyzendő ugyanakkor, hogy az Adobe jelentős segítséget kapott a Microsofttól és a Google-től is a sandboxing és a hibavadászat területén - az Oracle termékével kapcsolatban azonban jelenleg nem állnak rendelkezésre ilyen erőforrások, ráadásul (kliens oldalon) a technológia is kifutóban van. Lehet fogadásokat kötni, hogy az applet, mint fogalom beledöglik-e az ellene megindult offenzívába, de abban azt hiszem megállapodhatunk, hogy az offenzív kutatás idáig elég látványos eredményeket tudott felmutatni :)