Adobe подтверждает, что Windows 8 уязвима перед действующими Flash-эксплойтами
Internet Explorer 10 в составе Windows 8 является вторым браузером после Chrome, для которого Flash Player включен в состав браузера с автоматическим обновлением. Теоретически, это должно улучшить безопасность пользователей, если одна из самых уязвимых программ в системе будет обновляться автоматически. Но на практике всё обстоит несколько иначе.
14 и 21 августа компания Adobe выпустила два апдейта для Flash Player, которые закрывают восемь уязвимостей, некоторые из которых имеют максимальный статус опасности («1» в классификации Adobe). Одна из этих уязвимостей, описанная в бюллетене APSB12-19, в течение почти двух лет использовалась злоумышленниками как эффективный эксплойт 0-day.
Несколько дней назад компания Adobe пояснила, что выпущенный 14 августа апдейт Flash Player не включает в себя патч для CVE-2012-1535, он был выпущен 21 августа. В то же время в IE10 из Windows 8 RTM установлен Flash Player версии 11.3.372.94, то есть с патчем от 14 августа, но не от 21 августа. Самая последняя версия под Windows должна иметь номер 11.4.402.265. Компания Microsoft просто не успела накатить последний патч, прежде чем отправить партнёрам финальный релиз Windows 8.
Сейчас компании Adobe и Microsoft подтвердили, что не смогут выпустить патч Flash Player для IE10 до 26 октября, когда начинаются продажи новой Windows 8. Это связано с организационными проблемами: поскольку операционная система официально ещё не вышла, Adobe просто не может распространить пользователям этот патч, так что это будет сделано после начала продаж Windows 8.
Как уже было упомянуто, Flash Player включен по умолчанию в браузере IE10, так что все пользователи Windows 8, поставив себе эту операционную систему с новым браузером, автоматически станут уязвимы перед действующими эксплойтами, которые уже давно используются в интернете. Первое, что нужно будет сделать пользователям Windows 8 — обновить Flash Player. Вероятно, Microsoft мгновенно инициирует апдейт через механизм Windows Update. Но ситуация усугубляется тем, что компания Microsoft уже начала распространять пробную версию Windows 8 RTM по своим каналам, хотя обновление Flash Player не выйдет ранее 26 октября.