Adobe пропатчила RCE во Flash, Reader, Acrobat

Adobe выпустила первую новогоднюю порцию патчей, традиционно закрывающих уязвимости во Flash Player и Reader. Ни одна из этих брешей пока не используется в дикой природе.

Обновление для Flash устраняет 13 уязвимостей, из которых 12 грозят удаленным исполнением кода. В Reader и Acrobat пропатчено 29 багов, все они, кроме одного, влекут исполнение кода.

Этот набор патчей вышел спустя месяц после того, как Microsoft и Google подтвердили, что будут по умолчанию блокировать Flash в Edge и Chrome. Google еще в начале декабря заявила, что постепенно начнет переводить пользователей Chrome 55 на HTML5. Microsoft последовала примеру Google: со слов разработчика, Edge вскоре станет по умолчанию блокировать Flash-контент на сайтах, поддерживающих HTML5.

История обеспечения безопасности Flash давно уже превратилась в длинную, кипящую страстями повесть. Несмотря на отчаянные попытки Adobe защитить этот софт от эксплойта, злоумышленники продолжают отыскивать слабые места во Flash и использовать их в масштабных кампаниях и целевых атаках с неослабным энтузиазмом.

Январское обновление Flash устраняет три бреши использования высвобожденной памяти, четыре уязвимости переполнения буфера и пять багов нарушения целостности памяти; все они открывают возможность для исполнения кода. Adobe также пропатчила уязвимость CVE-2017-2938, чреватую раскрытием информации.

Уязвимостям подвержены Flash версий 24.0.0.186 и ниже, работающие на Windows, Macintosh и Linux, а также в Chrome, Edge и Internet Explorer. Организациям рекомендуется как можно скорее обновить этот продукт до версии 24.0.0.194.

Обновление для Reader/Acrobat более объемно, оно закрывает почти три десятка уязвимостей таких видов, как путаница типов данных, порча памяти, переполнение буфера, use-after-free. Из них 28 позволяют исполнить код в хост-системе, а одна брешь, CVE-2017-2947, грозит обходом защиты. Данное обновление адресовано пользователям Reader/Acrobat версии 11.0.18 и более ранних.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *