Adobe gaat de manier aanpassen waarop Flash Player binnen Office 2008 en eerdere versies werkt om zo aanvallen tegen gebruikers minder aantrekkelijk te maken. Een zeer populaire manier voor aanvallers is het inbedden van een Flash-bestand in een legitiem lijkend Word document. Zodra een gebruiker het Word document opent, wordt het Flash-bestand door Adobe Flash Player uitgevoerd.
In het geval het Flash-bestand een exploit voor een beveiligingslek in Flash Player bevat, kan een aanvaller op deze manier de computer overnemen. Adobe publiceerde gisterenavond een noodpatch voor twee voorheen onbekende zero-day beveiligingslekken die onder andere via Word-bestanden tegen organisaties waren ingezet.
Office
Om dit soort aanvallen te voorkomen bevat Microsoft Office 2010 een sandbox genaamd Protected Mode die de rechten waarmee een document wordt uitgevoerd beperkt. Als het document van het internet of een onbetrouwbare zone afkomstig is, wordt Flash Player content standaard niet uitgevoerd.
In Office 2008 en eerdere versies wordt Flash Player content wel standaard uitgevoerd, zonder de bescherming van de sandbox, waardoor het volgens Adobe een aantrekkelijke aanvalsvector voor gerichte aanvallen is.
Bescherming
"Niet iedereen heeft de mogelijkheid om naar Office 2010 te upgraden", zegt Adobe's Peleus Uhley. Om ook deze Office-gebruikers te beschermen zal de volgende versie van Flash Player controleren of Flash Player vanuit Microsoft Office wordt gestart en wat de Office-versie is.
In het geval Flash Player wordt gestart vanuit Office 2008 of eerder, verschijnt onderstaand dialoogvenster. Het is vervolgens aan de gebruiker om de ingebedde Flash-content uit te laten voeren of niet.
"Als de eindgebruiker een document met kwaadaardige Flash-content opent, wordt de kwaadaardige content niet meteen uitgevoerd en heeft geen direct gevolg voor de eindgebruiker", merkt Uhley op. Hierdoor zullen aanvallers het slachtoffer een extra handeling moeten laten verrichten, bijvoorbeeld via social engineering, terwijl dit eerst niet het geval was.
Deze posting is gelocked. Reageren is niet meer mogelijk.