Firma przygotowała exploity wykorzystujące obie luki - zostały one już włączone do rozwijanego przez Intevydis narzędzia do testów penetracyjnych o nazwie Immunity Canvas. Przed lukami ostrzega amerykański CERT a także firmy zajmujące się bezpieczeństwem IT.

Producent dziurawej aplikacji - koncern Adobe - dowiedział się o błędach dopiero teraz, po powstaniu exploitów i poinformowaniu o tym mediów. To efekt przyjętej przed dwoma laty przez Intevydis polityki, w myśl której firma nie informuje producentów oprogramowania o błędach znalezionych w ich produktach. Dodajmy, że podobnie działa również francuska firma Vupen, która informacje o nowych lukach udostępnia wyłącznie swoim klientom.

Zobacz również:

• Luka w zabezpieczeniach WordPress
• Apple łata poważne luki - warto zaktualizować swój sprzęt
• Canva dokonuje największego przejęcia w pościgu za Adobe

Z informacji dostarczonych przez Intevydis wynika, że obie luki we Flash Playerze są wyjątkowo niebezpieczne, ponieważ umożliwiają m.in. obejście wbudowanych do Windows i Internet Explorera zabezpieczeń (ASLR i sandbox), które teoretycznie powinny chronić system przed atakiem przeprowadzonym przez lukę we wtyczce do przeglądarki. Problem nie dotyczy tylko wersji dla Windows - Rosjanie zapowiadają, że wkrótce powinien pojawić się exploit działający również na Mac OS X.

Atak na system można przeprowadzić podsuwając użytkownikowi odnośnik do strony WWW lub dokument PDF zawierające odpowiednio zmodyfikowaną zawartość Flash. Na atak podatne są również aplikacje Adobe Reader oraz Acrobat - ponieważ zawierają one przeniesiony z Flash Playera komponent do obsługi Flasha.

Przedstawiciele Adobe na razie nie komentują tych doniesień, nie wiadomo więc czy i kiedy firma udostępni poprawki. Rzecznik Intevydis twierdzi, że użytownicy nie są zagrożeni, ponieważ z rozwijanego przez firmę narzędzia do testów korzystają wyłącznie specjaliści ds. bezpieczeństwa (którzy zobligowani są do przestrzegania ściśle określonych zasad używania exploitów).