Microsoft łata Flash Playera – biuletyn bezpieczeństwa wydany poza harmonogramem

O autorze

Adam Golański

@eimi

Hodowca maszyn wirtualnych i psów, poza tym stary linuksiarz, bonvivant i śmieszek. W 2012 roku napisał na DP o algorytmie haszowania Keccak i wciąż pamięta, jak on działa.

Systemy Windows dostaną jednak w końcu w lutym jakąś łatkę. Microsoft zdecydował się nie narażać dalej użytkowników przeglądarek Edge i Internet Explorer na zagrożenia wynikające z dziurawego Flash Playera i wydał paczkę z poprawkami przygotowanymi przez Adobe.

W lutym w drugi wtorek miesiąca Microsoft nie dostarczył swoich biuletynów bezpieczeństwa, zrywając z wieloletnią tradycją. W ostatniej chwili wewnętrzne testy wykazały, że coś zawiodło w łatkach. Ich wydanie zostało przełożone na marzec, mimo że w tym czasie był znany jeden 0-day, wykorzystujący lukę w protokole SMB (wykorzystywanym przez sieci lokalne Windows).

Jednocześnie jednak Adobe wydało swoje biuletyny bezpieczeństwa, jak to zwykle bywa łatające całą mnogość podatności we Flash Playerze, z których większość pozwalała na zdalne uruchomienie kodu. O ile użytkownicy innych przeglądarek łatki Adobe otrzymali, to w wypadku Internet Explorera i Edge wykorzystujących zintegrowany komponent Flash jedynym sposobem na zabezpieczenie się jest łatka od Microsoftu.

Taka łatka właśnie została wydana w ramach biuletynu MS17-005, jako KB4010250 w Windows Update. Na liście systemów, dla których łatka jest dostępna, nie ma Windowsa 7 – dla Internet Explorera 11 na „siódemce” należy skorzystać z mechanizmu aktualizacji Adobe.

Dobre i to, choć pozostałe dwa 0-daye, wspomniany w protokole SMB, oraz ten odkryty przez badacza z Google w bibliotece GDI, wciąż będą straszyć, przynajmniej do 14 marca, kiedy to pojawić by się miały marcowe biuletyny bezpieczeństwa.