Компания Adobe сообщила [3] о выходе внепланового корректирующего релиза Flash Player 11.1.102.63 [4], в котором устранено две критические уязвимости, которые потенциально могут привести к выполнению кода злоумышленников при открытии специально оформленного контента. Проблеме подвержены версии Flash для Windows, Mac OS X, Linux, Android и Solaris. Проблемы выявлены экспертами из компании Google, несколько дней назад уже устранившей указанные уязвимости в очередном обновлении браузера Chrome.
Одновременно представлен [5] новый открытый инструментарий для разработчиков и специалистов по безопасности - Adobe SWF Investigator [6], позволяющий в удобном GUI-интерфейсе провести детальный анализ внутренностей файлов SWF, выполнить декомпиляцию SWF и просмотреть код ActionScript. В частности, используя представленную утилиту можно изучить метод работы интегрированного в SWF файл эксплоита или выявить причину проблем в собственном Flash-контенте. SWF Investigator разработан и используется в команде, отвечающей за исправление уязвимостей во Flash. Код инструментария написан с использованием Adobe AIR и открыт под лицензией Mozilla Public Licence.
В состав SWF Investigator входит редактор шестнадцатеричных дампов, статический и динамический анализаторы, дизасемблер ActionScript, интерфейс для просмотра SWF тегов, инструмент для выявления XSS-уязвимостей (межсайтовый скриптинг). Средства динамического анализа позволяют вызывать определённые функции SWF, загружать SWF в различных контекстах, взаимодействовать через локальные соединения или отправку сообщений в формате AMF (Action Message Format).
Ссылки:
[1] http://htfl.ru/cat-news-adobe
[2] http://htfl.ru/cat-news-novosti-po
[3] /out.php?link=http://www.adobe.com/support/security/bulletins/apsb12-05.html
[4] /out.php?link=http://get.adobe.com/flashplayer/
[5] /out.php?link=http://blogs.adobe.com/labs/archives/2012/03/adobe-swf-investigator-beta-released-to-labs.html
[6] /out.php?link=http://labs.adobe.com/technologies/swfinvestigator/