После краткого перерыва в неустанном латании Flash Player, по плану и вне графика, Adobe возобновила ежемесячный ритуал, выпустив апдейт для этого многострадального продукта. Вышедший вчера набор патчей для Flash закрыл 26 брешей, большинство из них позволяют удаленно исполнить код в хост-системе. Параллельно Adobe обновила комплект Air SDK & Compiler и Digital Editions. Данных об активном эксплойте ныне закрываемых уязвимостей у разработчика нет.

В прошлый раз «вторник патчей» не коснулся Flash, причем с января это произошло впервые. В текущем году Adobe даже доводилось латать этот продукт во внеочередном порядке — в апреле, мае и июне, а в июле в нем было закрыто 52 уязвимости, в том числе множественные RCE.

Почти половина патчей сентябрьского выпуска исправляют баги порчи памяти, чреватые RCE-атакой. Устранены также 11 возможностей для использования освобожденной памяти и одна брешь целочисленного переполнения, эксплуатация которых влечет аналогичный исход. Еще три уязвимости, судя по описанию Adobe, открывали возможность для обхода защиты ОС и влекли раскрытие информации.

Пользователям Windows и Mac OS X настоятельно рекомендуется обновиться до Flash 23.0.0.162. Эта же версия пропатчит модули на Chrome, Microsoft Edge и Internet Explorer 11.

Сборка 23.0.0.257 комплекта разработчика Adobe Air SDK & Compiler устраняет единственную уязвимость, CVE-2016-6936. «Это обновление добавляет поддержку безопасной передачи аналитических данных в ходе исполнения AIR-приложений на Android, — гласит бюллетень Adobe. — После установки этого обновления разработчикам рекомендуется перекомпилировать связанные пакеты среды выполнения».

В Adobe Digital Editions для Windows, Mac OS X, iOS и Android разработчик закрыл восемь брешей. Пользователям этого ПО для чтения электронных книг рекомендуется обновить его до версии 4.5.2. Почти все исправленные ошибки связаны с нарушением целостности памяти, одна уязвимость относится к классу use-after-free. В случае эксплойта все они грозят исполнением кода.

Категории: Главное, Уязвимости