Det professionella hackarföretaget Hacking Team har själva blivit utsatta för angrepp och känsliga säkerhetsuppgifter har läckt ut på nätet.
Det italienska företaget Hacking Team säljer verktyg för att spionera på datorer till stater, regeringar och säkerhetstjänster. Nu har det kritiserade företaget själva blivit hackade och 400 gigabyte interna filer har stulits och läckt ut på nätet. Med tanke på företagets rykte har de inte fått mycket sympati för detta och nu verkar det som om filstölden dessutom gjort lite nytta.
Två tidigare okända och oreparerade säkerhetsproblem har hittats i den läckta källkoden, rapporterar The Registry. Dessa luckor användes av Hacking Team i deras verksamhet med att kompromettera datorsystem, så företaget hade själva ett intresse av att hålla säkerhetshålen hemliga.
Den första och mest kritiska sårbarheten påverkar Adobe Flash, och är vad Hacking Team i sina filer kallar ”den vackraste Flash-buggen under de senaste fyra åren”. Detta fel kan utnyttjas på Windows, OS X och Linux-system som kör Chrome, Firefox, Internet Explorer och Safari, samt troligen alla webbläsare baserade på någon av dessa, och gör det möjligt för en angripare att exekvera kod på offrets system från en webbplats.
Den andra sårbarheten är något mindre allvarlig eftersom den kräver en annan sårbarhet (som Flash-buggen ovan) för att tillåta en angripare att använda den, men är ändå farlig. Felet finns i en av Adobes teckensnittsdrivrutiner som medföljer Windows-system och påverkar alla versioner från Windows XP till 8.1. En skadlig OTF-teckensnittsfil laddas upp, som sedan gör det möjligt för angriparen att höja sina privilegier inom systemet.
Adobe har släppt en säkerhetsbulletin som säger att de är medvetna om den nya sårbarheten i Flash. En uppdatering har släppts och företaget rekommenderar att den snarast installeras.
Det finns för närvarande ingen uppdatering för Windowssårbarheten, men en sådan lär vara på gång. Microsoft anser att den totala risken för kunderna är begränsad, eftersom denna sårbarhet inte på egen hand kan användas för att låta en angripare att ta kontroll över en maskin. Företaget uppmuntrar sina kunder att installera Adobes uppdatering medan de själva arbetar på en rättelse.