Zero-Day Vulnerability Terbaru Dari Adobe Flash Player

Adobe Flash Player pada dasarnya memang tidak direkomendasikan oleh banyak pihak, apalagi baru-baru ini para peneliti telah menemukan kerentanan zero-day alias Zero-Day Vulnerability lainnya dalam aplikasi tersebut, dimana ini telah aktif dieksploitasi di Timur Tengah. Meskipun, pihak Adobe sendiri telah merilis pembaruan keamanan untuk Flash Player untuk Windows, macOS, Linux, dan Chrome OS.

ICEBRG, perusahaan keamanan jaringan yang menemukan kerentanan ini mengatakan dalam posting blog terbaru bahwa fitur vulnerability yang hadir memungkinkan objek Flash berbahaya untuk mengeksekusi kode pada perangkat yang ditargetkan. Ini akan memungkinkan penyerang untuk “mengeksekusi berbagai muatan dan tindakan” yang bisa tergantung pada niat mereka. Kerentanan telah di identifikasi sebagai CVE dari CVE-2018-5002, tetapi belum terdaftar di situs web resmi CVE atau National Vulnerability Database (NVD).

Yang Kami Tahu Mengenai Zero-Day Vulnerability Terbaru Dari Adobe Flash Player

Menurut ICEBRG, zero-day vulnerability ini telah dieksploitasi di Timur Tengah melalui dokumen Microsoft Office yang digunakan untuk mengunduh dan mengeksekusi eksploitasi Flash pada perangkat target. Perusahaan tersebut mengatakan bahwa pendekatan ini jauh berbeda dari eksploitasi Flash yang dikirim ke Office lainnya, karena ia akan “menggunakan fitur yang kurang dikenal, dimana ia juga menyertakan semua konten SWF dari server penyerang, bukan menyematkannya langsung di dokumen.”

Penyerang tampaknya semakin canggih untuk mengeksploitasi Flash, dimana mereka bergeser dengan pilihan remote untuk mengirimkan “sesuatu” melalui situs web berbahaya setelah pembuat browser meningkatkan keamanannya. Sebaliknya, penjahat ini juga banyak yang memilih menggunakan dokumen Office untuk menginfeksi perangkat target karena suite Office tidak memiliki perlindungan yang sama. Banyak orang menemukan dokumen Office biasanya mudah hadir dan tak terhitung jumlahnya, dan kecuali mereka secara eksplisit diperingatkan untuk tidak melakukannya, kemungkinan besar mereka akan mengunduh salah satu dari sumbernya.

ICEBRG mengatakan bahwa Adobe diberitahu tentang kerentanan zero-day ini pada 1 Juni, meskipun patch keamanan baru dirilis pada 7 Juni. Tentu saja, Adobe tidak asing dengan kerentanan zero-day yang ditemukan di Flash, mengingat bahwa ini merupakan bentuk penambalan yang berbeda awal tahun ini. (Dan telah bereaksi terhadap banyak orang lain di tahun-tahun sebelumnya.)