Во вторник вышло исправление безопасности APSB11-21, в котором было устранено 13 уязвимостей в Adobe Flash Player 10.3.181.34. 12 из них имеют высокий рейтинг опасности и позволяют удаленное выполнение произвольного кода.
Согласно публикации в Twitter одного из сотрудников Google, Тэвиса Орманди (Tavis Ormandy), компания Adobe не опубликовала все данные относительно устраненных уязвимостей. Тэвис сообщил, что он отправил Adobe данные по 400 уникальным уязвимостям, которые были тайно устранены в последней версии Adobe Flash Player 10.3.183.5. Уязвимости были обнаружены в рамках аудита безопасности Adobe Flash Player.
400 уязвимостей в одном из самых популярных в мире приложений – это безупречный «лесной пушистый зверек» для Adobe. Естественно, возникает вопрос: «Кому верить?». - Тэвис Орманди – известный исследователь в области информационной безопасности, занимающий должность инженера по информационной безопасности в компании Google, нашедший огромное количество уязвимостей в продуктах различных производителей; Adobe – всемирно известная компания, чьи продукты используются практически на всех рабочих станциях.
При публикации уведомлений, вполне нормальная практика объединять похожие уязвимости в одну, так поступают многие компании. Но Тэвис в своем сообщении говорит именно о 400 уникальных уязвимостях. В самом уведомлении безопасности от Adobe содержится лишь скромное предложение, относящееся к Тэвису:
«Adobe would also like to thank Tavis Ormandy and the Google Chrome team for their great work on several improvements to this Flash Player release» (Adobe также хотела бы поблагодарить Тэвиса Орманди и команду Google Chrome за их чудесную работу над несколькими усовершенствованиями для этой версии Flash Player).
В настоящий момент нет официального ответа от Adobe, надеемся, что представители компании смогут прояснить сложившуюся ситуацию.
Источник: SecurityLab
|