26 Eylül'de US-CERT tarafından flash player'lar için clickjacking denilen saldırı tipine olanak sağlayan bir güvenlik açığının varlığı duyurulmuştu. Detaylarına US-CERT'in ilgili raporundan ulaşabileceğiniz bu açık, kısaca temiz olduğunu düşündüğünüz ya da tuzak olarak hazırlanmış web sitelerindeki herhangi bir linke tıkladığınızda “aslında başka bir kaynaktaki bir linke tıklamış olmanızın” sağlanması şeklinde cereyan ediyor. Yani saldırgan, web sitelerindeki linkleri istediği şekilde yönetebiliyor ve bilgisayarınızda zararlı kodlar çalıştırılmasını sağlayabiliyor.

flash player, hemen tüm browserlarla uyumlu olarak çalıştığı ve internet üzerinde flash content barındıran yığınla site olduğundan dolayı bu açığın kapsama alanı epey geniş. Ayrıca, çok kolay ve çok çeşitli yöntemlerle uygulanabilecek bir saldırıya zemin hazırladığından dolayı önemi daha da artıyor. Bu açığın giderilmesi için bir kaç gün öncesine kadar (15 Ekim 2008) herhangi bir patch vs. yayınlanmamıştı. Sadece flash player'in ayarlarından erişim için bir takım yasaklamalar yapmak öneriliyordu.

Nihayet, 15 Ekim 2008 tarihinde adobe, bu açığı etkisiz kılacak Flash Player 10.0.12.36 sürümünü yayınladı.
http://www.adobe.com/go/getflashplayer adresinden download edebileceğiniz bu sürümü, sisteminize yüklemenizi tavsiye ederim.

Yukarıda bahsettiğim gibi Flash Player Lynx dışında Firefox 3 ve IE 8.0 dahil hemen her türlü browser'la uyumlu olarak çalışmakta.

Kaynaklar:

http://www.adobe.com/support/security/bulletins/apsb08-18.html
http://www.us-cert.gov/current/index.html#adobe_releases_security_bulletin_for